ISGroup Cybersicherheitsberatung

CVE-2023-2060: Schwachstelle durch schwache FTP-Passwörter in MELSEC EtherNet/IP-Modulen von Mitsubishi Electric

Mitsubishi Electric MELSEC iQ-R und iQ-F sind industrielle Steuermodule, die in kritischen Infrastrukturen und in der Fertigungsindustrie zur Automatisierung komplexer Prozesse eingesetzt werden. Die geschäftliche Kritikalität dieser Geräte ist extrem hoch, da ihre Kompromittierung zu schwerwiegenden Betriebsstörungen, Produktionsstillständen und potenziellen Risiken für die physische Sicherheit führen kann.

Das Hauptrisiko ergibt sich aus einer unzureichenden Passwort-Richtlinie für den FTP-Dienst, die die Verwendung schwacher oder leicht zu erratender Anmeldedaten ermöglicht. Dies macht die Module extrem anfällig für unbefugte Zugriffe durch entfernte, nicht authentifizierte Angreifer. Obwohl im aktuellen Szenario keine Fälle einer aktiven Ausnutzung dieser Schwachstelle gemeldet wurden, ist sie in einem ICS-Hinweis (Industrial Control Systems) der CISA enthalten, und ein öffentlicher Exploit ist verfügbar. Die geringe Komplexität, die für den Angriff erforderlich ist, macht jedes Gerät, das mit dem Internet verbunden oder nicht korrekt segmentiert ist, zu einem wertvollen Ziel für opportunistische oder gezielte Angriffe. Unternehmen, die keine robusten Passwortkriterien auf diesen Geräten anwenden, sind unmittelbar von einer Kompromittierung bedroht.

ProduktMELSEC iQ-R/F Serie EtherNet/IP
Datum04.12.2025 12:40:00

Technische Zusammenfassung

Die Hauptursache für diese Schwachstelle wird als CWE-521: Weak Password Requirements klassifiziert. Der FTP-Dienst auf den betroffenen Mitsubishi Electric MELSEC-Modulen erzwingt keine Anforderungen an Komplexität, Länge oder Rotation von Passwörtern, was es Administratoren ermöglicht, triviale oder voreingestellte Anmeldedaten festzulegen. Ein Angreifer kann diese Schwachstelle ohne Authentifizierung ausnutzen, indem er Wörterbuch- oder Brute-Force-Angriffe gegen den FTP-Dienst durchführt.

Der Angriffsablauf stellt sich wie folgt dar:

  1. Ein Angreifer identifiziert einen exponierten FTP-Dienst (TCP-Port 21) auf einem anfälligen MELSEC-Modul.
  2. Der Angreifer startet eine hohe Anzahl von Anmeldeversuchen unter Verwendung einer Liste gängiger oder voreingestellter Passwörter.
  3. Aufgrund des Fehlens von Komplexitätsanforderungen für Passwörter und der möglichen fehlenden Schutzmaßnahmen gegen Brute-Force gelingt es dem Angreifer schließlich, die korrekten Anmeldedaten zu erraten.
  4. Nach erfolgreicher Authentifizierung erhält der Angreifer über das FTP-Protokoll vollen Lese-, Schreib- und Löschzugriff auf das Dateisystem des Moduls.

Dieser Zugriff ermöglicht es dem Angreifer, kritische Dateien zu manipulieren, einschließlich der SPS-Logik, Projektdateien und Systemkonfigurationen. Die Änderung der SPS-Logik kann den vom Gerät gesteuerten industriellen Prozess direkt beeinflussen, was zu Anlagenschäden oder gefährlichen Betriebszuständen führen kann.

Betroffene Module:

  • MELSEC iQ-R Serie EtherNet/IP-Modul RJ71EIP91
  • MELSEC iQ-F Serie EtherNet/IP-Modul FX5-ENET/IP

Für dieses Problem ist kein spezifischer Patch verfügbar, da es sich um eine Konfigurationsschwäche handelt. Die Schadensbegrenzung erfordert die Anwendung sicherer Konfigurationspraktiken.

Empfehlungen

  • Sofortige Konfigurationsänderungen anwenden: Diese Schwachstelle wird durch Benutzeraktionen behoben, nicht durch einen Software-Patch. Weisen Sie sofort ein starkes, komplexes und eindeutiges Passwort für den FTP-Dienst auf allen betroffenen MELSEC-Modulen zu.
  • Netzwerksegmentierung und Zugriffskontrolle: Stellen Sie sicher, dass die betroffenen Module nicht dem Internet ausgesetzt sind. Beschränken Sie den Zugriff auf den FTP-Dienst (TCP-Port 21) auf ein dediziertes Management-VLAN oder eine begrenzte Anzahl autorisierter IP-Adressen. Implementieren Sie nach Möglichkeit ein Zero-Trust-Sicherheitsmodell.
  • Nicht benötigte Dienste deaktivieren: Wenn der FTP-Dienst für den Betrieb nicht erforderlich ist, deaktivieren Sie ihn vollständig auf dem Modul, um diese Angriffsfläche zu eliminieren.
  • Hunt & Monitor:
    • Überwachen Sie Netzwerkprotokolle auf eine hohe Anzahl fehlgeschlagener FTP-Anmeldeversuche bei MELSEC-Modulen, was auf einen laufenden Brute-Force-Angriff hindeuten könnte.
    • Überprüfen Sie Firewall-Protokolle auf unbefugte Verbindungsversuche über TCP-Port 21 zu Geräten innerhalb des OT-Netzwerks.
    • Implementieren Sie Systeme zur Überwachung der Integrität kritischer Dateien, um unbefugte Änderungen zu erkennen.

  • Incident Management:

    • Wenn eine Kompromittierung vermutet wird, isolieren Sie das betroffene Gerät sofort vom Netzwerk, um weitere Auswirkungen zu verhindern.
    • Führen Sie eine forensische Analyse durch, um das Ausmaß des Eindringens zu bestimmen.
    • Stellen Sie das Gerät aus einem intakten Backup wieder her, das vor der vermuteten Kompromittierung erstellt wurde, und legen Sie ein robustes Passwort fest, bevor Sie es wieder mit dem Netzwerk verbinden.

  • Defense in Depth (Tiefenverteidigung):

    • Führen Sie regelmäßig Konfigurationsaudits aller ICS-Geräte durch, um schwache Passwörter und unsichere Einstellungen zu identifizieren und zu korrigieren.
    • Bewahren Sie Offline-Backups der gesamten SPS-Logik und der Konfigurationsdateien auf.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *