ISGroup Cybersicherheitsberatung

CVE-2023-2062: Schwachstelle durch Klartextübertragung von Passwörtern in EtherNet/IP-Konfigurationstools von Mitsubishi Electric

Die Mitsubishi Electric EtherNet/IP Configuration Tools sind Software-Dienstprogramme, die von Ingenieuren in Umgebungen der Betriebstechnik (OT) verwendet werden, um Komponenten industrieller Steuerungssysteme (ICS) zu konfigurieren und zu verwalten, insbesondere die Module der Serien MELSEC iQ-R und iQ-F. Diese Module sind entscheidend für die Automatisierung industrieller Prozesse in der Fertigung, der Energiewirtschaft und anderen kritischen Infrastrukturen.

Das Hauptrisiko von CVE-2023-2062 ist die Offenlegung sensibler Anmeldeinformationen im Netzwerk. Ein nicht authentifizierter Angreifer, der bereits einen Fuß in das OT-Netzwerk bekommen hat, kann die FTP-Passwörter, die von der anfälligen Konfigurationssoftware im Klartext übertragen werden, passiv abfangen. Dies ermöglicht es dem Angreifer, Authentifizierungsmechanismen zu umgehen und direkten unbefugten Zugriff auf die Industriemodule zu erlangen.

Obwohl es keine Beweise für aktive Ausnutzungen in realen Umgebungen gibt, ist ein öffentlicher Proof-of-Concept-Exploit verfügbar, was die Wahrscheinlichkeit zukünftiger Angriffe erhöht. Die Schwachstelle betrifft Systeme, bei denen der Netzwerkverkehr überwacht werden kann, wodurch Umgebungen mit flachen, nicht segmentierten Netzwerken oder kompromittierten Engineering-Workstations besonders gefährdet sind. Ein erfolgreicher Exploit könnte zum Diebstahl sensibler Konfigurationsdateien, zum Hochladen schädlicher Logik oder zur vollständigen Sabotage physischer Industrieprozesse führen.

ProduktMitsubishi Electric EtherNet/IP Configuration Tool
Datum05.12.2025 00:12:52

Technische Zusammenfassung

Die Hauptursache für diese Schwachstelle ist CWE-319: Klartextübertragung sensibler Informationen. Die betroffenen EtherNet/IP-Konfigurationstools, SW1DNN-EIPCT-BD und SW1DNN-EIPCTFX5-BD, übertragen FTP-Anmeldeinformationen an die MELSEC-Module ohne jegliche Form von Verschlüsselung.

Der Ablauf des Angriffs ist wie folgt:

  1. Ein Bediener verwendet das anfällige Konfigurationstool, um eine Verbindung zu einem MELSEC iQ-R oder iQ-F Serien EtherNet/IP-Modul herzustellen.
  2. Während der Verbindungsphase authentifiziert sich das Tool gegenüber dem FTP-Dienst des Moduls.
  3. Das FTP-Passwort wird in einem Klartextfeld innerhalb des Netzwerkpakets gesendet.
  4. Ein Angreifer, der sich im selben lokalen Netzwerksegment befindet, kann ein Sniffing-Tool (z. B. Wireshark) verwenden, um diesen Datenverkehr zu erfassen und das Passwort zu extrahieren.
  5. Mit dem erlangten Passwort kann sich der Angreifer dann eigenständig am FTP-Server des Moduls authentifizieren und erhält unbefugten Lese- und Schreibzugriff auf das Dateisystem des Geräts.

Das folgende konzeptionelle Beispiel illustriert den unsicheren Datenfluss:

// Anfällige Logik (konzeptionell)
func connectToModule(ip, user, password) {
  // Das Passwort wird über einen unverschlüsselten Kanal (FTP) gesendet
  ftp_connection = ftp.connect(ip, user, password)
  return ftp_connection
}

Ein Angreifer kann diesen Zugriff nutzen, um Gerätekonfigurationen herunterzuladen, zu ändern oder hochzuladen und so möglicherweise den vom Controller gesteuerten physischen Prozess zu beeinflussen. Alle Versionen der betroffenen Software gelten als anfällig; Benutzer sollten auf die neueste vom Hersteller bereitgestellte Version aktualisieren.

Empfehlungen

  • Sofortiges Patchen: Aktualisieren Sie alle Instanzen von SW1DNN-EIPCT-BD und SW1DNN-EIPCTFX5-BD auf die neuesten von Mitsubishi Electric verfügbaren Versionen.

  • Abhilfemaßnahmen:

    • Implementieren Sie eine strikte Netzwerksegmentierung, um industrielle Steuerungssysteme von Unternehmensnetzwerken (IT) zu isolieren. Wenden Sie das Prinzip der geringsten Rechte (Least Privilege) an und stellen Sie sicher, dass nur autorisierte Engineering-Workstations mit den MELSEC-Modulen kommunizieren können.
    • Verwenden Sie Firewalls und Zugriffskontrolllisten (ACLs), um den FTP-Zugriff (typischerweise TCP-Port 21) auf die Module von nicht autorisierten IP-Adressen zu beschränken.
    • Minimieren Sie die Verwendung von Klartext- und unverschlüsselten Protokollen wie FTP im OT-Netzwerk.

  • Suche und Überwachung:

    • Überwachen Sie den Netzwerkverkehr aktiv auf Versuche einer FTP-Authentifizierung im Klartext gegenüber MELSEC-Modulen. Netzwerksicherheits-Überwachungstools können so konfiguriert werden, dass sie FTP-Befehle USER und PASS melden.
    • Überprüfen Sie die Protokolle auf den Modulen (sofern verfügbar) und auf zentralen Syslog-Servern auf FTP-Verbindungen von unerwarteten oder nicht autorisierten IP-Adressen.
    • Kontrollieren Sie ungewöhnliche Mengen an Datei-Downloads oder -Uploads von den Industriemodulen.

  • Reaktion auf Vorfälle:

    • Wenn ein Kompromiss vermutet wird, isolieren Sie die betroffenen Module sofort vom Netzwerk, um weitere seitliche Bewegungen oder böswillige Aktivitäten zu verhindern.
    • Erzwingen Sie eine Passwortänderung auf allen MELSEC-Modulen, nachdem Sie sichergestellt haben, dass das Konfigurationstool aktualisiert wurde.
    • Führen Sie eine Integritätsprüfung der Gerätekonfigurationen durch, indem Sie diese mit dem letzten als gültig bekannten Backup vergleichen.

  • Mehrschichtige Verteidigung:

    • Führen Sie ein vollständiges und aktuelles Inventar aller OT-Assets und deren Netzwerkzugänglichkeit.
    • Stellen Sie sicher, dass regelmäßige und validierte Backups der Konfigurationen aller ICS-Geräte für eventuelle Wiederherstellungen verfügbar sind.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *