ISGroup Cybersicherheitsberatung

CVE-2023-2063: Fehlende Authentifizierungsschwachstelle im Mitsubishi Electric MELSEC EtherNet/IP-Modul

Mitsubishi Electric MELSEC iQ-R und iQ-F sind speicherprogrammierbare Steuerungen (SPS), die in industriellen Steuerungssystemen (ICS) und Umgebungen der Betriebstechnologie (OT) weit verbreitet sind. Diese Module sind grundlegende Komponenten bei der Automatisierung kritischer Infrastrukturen, wie z. B. Produktionsanlagen, Energienetze und Wasseraufbereitungsanlagen. Ihre Kompromittierung kann schwerwiegende Folgen haben, die über den bloßen Datenverlust hinausgehen und mögliche physische Unterbrechungen sowie Sicherheitsvorfälle umfassen.

Diese Schwachstelle stellt ein hohes Risiko dar, da sie es einem nicht authentifizierten Remote-Angreifer ermöglicht, die vollständige Kontrolle über das Dateisystem des Geräts zu erlangen. Obwohl der CVSS-Wert bei 6,3 (Mittel) liegt, erhöht das Potenzial für betriebliche Unterbrechungen das tatsächliche Risiko. Jedes netzwerkzugängliche Modul mit aktiviertem FTP-Dienst ist gefährdet. Ein Angreifer könnte die Produktion stoppen, industrielle Prozesse manipulieren oder gefährliche physische Bedingungen schaffen.

Obwohl es keine Beweise für eine aktive Ausnutzung in freier Wildbahn gibt und diese CVE derzeit nicht im Katalog der bekannten ausgenutzten Schwachstellen (KEV) der CISA enthalten ist, erhöht die Verfügbarkeit eines öffentlichen Exploits die Wahrscheinlichkeit zukünftiger Angriffe. Unternehmen, die diese Module für kritische Prozesse verwenden, sollten unverzüglich Korrekturmaßnahmen ergreifen.

ProduktMELSEC
Datum04.12.2025 12:17:56

Technische Zusammenfassung

Die Schwachstelle ist eine CWE-306: Fehlende Authentifizierung für kritische Funktionen innerhalb des FTP-Dienstes auf bestimmten MELSEC EtherNet/IP-Modulen. Der Dienst implementiert keine angemessenen Authentifizierungsprüfungen, was es jedem Remote-Angreifer im Netzwerk ermöglicht, eine Verbindung herzustellen und hochprivilegierte Vorgänge auf dem Dateisystem auszuführen, ohne Anmeldeinformationen anzugeben.

Der Ablauf des Angriffs ist einfach:

  1. Ein Angreifer identifiziert ein anfälliges MELSEC-Modul im Netzwerk mit exponiertem FTP-Port (TCP/21).
  2. Der Angreifer initiiert eine FTP-Verbindung unter Verwendung eines Standard-Clients.
  3. Der FTP-Dienst gewährt sofortigen und uneingeschränkten Zugriff auf das Root-Dateisystem des Geräts.
  4. Unter Verwendung von Standard-FTP-Befehlen (PUT, GET, DELE) kann der Angreifer sensible Daten exfiltrieren, legitime SPS-Logikdateien mit bösartigem Code überschreiben oder kritische Systemdateien löschen, um einen Denial of Service (DoS) zu verursachen.

Durch die Änderung der SPS-Logik kann ein Angreifer eine willkürliche Codeausführung im Kontext des industriellen Prozesses erreichen, was die direkte Manipulation der physischen Ausrüstung ermöglicht.

Betroffene Module:

  • MELSEC iQ-R Serie EtherNet/IP-Modul RJ71EIP91
  • MELSEC iQ-F Serie EtherNet/IP-Modul FX5-ENET/IP

Anwender sollten sich an Mitsubishi Electric wenden, um Informationen zu aktualisierten Firmware-Versionen zu erhalten.

Empfehlungen

  • Sofortiges Patchen: Kontaktieren Sie Mitsubishi Electric, um die neuesten Firmware-Updates für die betroffenen Module RJ71EIP91 und FX5-ENET/IP zu erhalten und zu installieren.

  • Mitigationsmaßnahmen:

    • Wenn die FTP-Funktionalität für den Betrieb nicht wesentlich ist, deaktivieren Sie den FTP-Dienst auf dem Gerät sofort.
    • Implementieren Sie eine strikte Netzwerksegmentierung, um die Steuerungssystemnetzwerke von Unternehmensnetzwerken (IT) und externen Netzwerken zu isolieren.
    • Verwenden Sie eine Firewall oder Zugriffskontrolllisten (ACLs), um den Zugriff auf den FTP-Port (TCP/21) auf den Modulen zu beschränken und Verbindungen nur von explizit autorisierten Engineering-Workstations oder Management-Servern zuzulassen.

  • Suche und Überwachung:

    • Überwachen Sie Netzwerkprotokolle auf FTP-Verbindungen zu den betroffenen Modulen, die von nicht vertrauenswürdigen oder nicht autorisierten IP-Adressen stammen.
    • Implementieren Sie eine Dateiintegritätsüberwachung auf den Geräten, um unbefugte Änderungen an der SPS-Logik oder den Konfigurationsdateien zu erkennen.
    • Analysieren Sie die Geräteprotokolle auf unerklärliche Neustarts, Logikänderungen oder Fehler, die auf eine Kompromittierung hindeuten könnten.

  • Reaktion auf Vorfälle:

    • Wenn eine Kompromittierung vermutet wird, befolgen Sie den spezifischen OT-Plan zur Reaktion auf Vorfälle. Isolieren Sie die kompromittierten Geräte vom Netzwerk, um die Bedrohung einzudämmen und seitliche Bewegungen zu verhindern.
    • Erstellen Sie forensische Abbilder des Speichers und des Dateisystems des Geräts für spätere Analysen.

  • Defense-in-Depth (Verteidigung in der Tiefe):

    • Stellen Sie sicher, dass regelmäßige und verifizierte Backups der gesamten SPS-Logik und der Konfigurationsdateien aufbewahrt werden.
    • Wenden Sie starke Zugriffskontrollen und Authentifizierung für alle Zugriffe auf das Netzwerk und OT-Geräte an.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *