Mitsubishi Electric MELSEC iQ-R und iQ-F sind leistungsstarke SPS-Module, die in industriellen Steuerungssystemen (ICS) und Umgebungen der Betriebstechnologie (OT) weit verbreitet sind. Diese Module spielen eine entscheidende Rolle bei der Automatisierung komplexer industrieller Prozesse in Sektoren wie Fertigung, Energie und kritische Infrastrukturen. Ihre Konnektivitätsfunktion mit Standard-Ethernet-Netzwerken macht sie zu einem zentralen Element moderner industrieller Abläufe.

Ein entfernter, nicht authentifizierter Angreifer kann das Dateisystem dieser essenziellen Geräte vollständig kompromittieren. Die Auswirkungen sind schwerwiegend und umfassen die Möglichkeit, industrielle Prozesse zu manipulieren, Schäden an der Ausrüstung zu verursachen, Produktionsunterbrechungen herbeizuführen oder gefährliche physische Zustände zu erzeugen. Die Schwachstelle ermöglicht es einem Angreifer, die Steuerungslogik zu überschreiben und faktisch die Kontrolle über den von der SPS verwalteten automatisierten Prozess zu übernehmen.

Für die Schwachstelle existiert ein öffentlicher Exploit, und die CISA hat eine Warnmeldung (ICSA-23-131-01) herausgegeben, die das Risiko unterstreicht. Jede Organisation, die diese Module mit netzwerkseitig zugänglichen FTP-Diensten betreibt, ist einem erheblichen Risiko ausgesetzt. Die Gefährdung ist besonders kritisch in Umgebungen mit flachen Netzwerken oder unzureichender Segmentierung zwischen IT- und OT-Zonen, in denen eine Kompromittierung des IT-Netzwerks genutzt werden kann, um diese kritischen Steuerungssysteme anzugreifen.

Produkt	Mitsubishi Electric MELSEC
Datum	05.12.2025 00:29:51

Technische Zusammenfassung

Bei der Schwachstelle handelt es sich um eine CWE-306: Fehlende Authentifizierung für kritische Funktionen im FTP-Dienst der betroffenen Mitsubishi Electric MELSEC EtherNet/IP-Module. Die Implementierung des FTP-Servers erzwingt keinen Authentifizierungsmechanismus, was es jedem entfernten Angreifer im Netzwerk ermöglicht, eine Verbindung herzustellen und beliebige Dateivorgänge auszuführen.

Ein Angreifer kann sich mit dem FTP-Dienst auf dem Standard-Port (TCP/21) verbinden und erhält sofort privilegierten Zugriff auf das Dateisystem des Geräts, ohne einen Benutzernamen oder ein Passwort angeben zu müssen. Dies ermöglicht die uneingeschränkte Nutzung von FTP-Befehlen wie PUT (Upload), GET (Download) und DELE (Löschen).

Die Angriffskette ist einfach:

1. Der Angreifer identifiziert ein anfälliges MELSEC-Modul im Netzwerk mit exponiertem FTP-Dienst.
2. Er verbindet sich über einen Standard-FTP-Client.
3. Der Server gewährt Zugriff auf das Dateisystem ohne Anforderung von Anmeldedaten.
4. Der Angreifer kann bösartige Firmware oder Steuerungslogik hochladen, um legitime Programme zu überschreiben, sensible Projektdateien zu exfiltrieren oder kritische Konfigurationsdateien zu löschen, um eine Dienstunterbrechung (DoS) zu verursachen.

Betroffene Module:

• MELSEC iQ-R Serie EtherNet/IP-Modul: RJ71EIP91
• MELSEC iQ-F Serie EtherNet/IP-Modul: FX5-ENET/IP

Bitte konsultieren Sie das Bulletin von Mitsubishi Electric für Details zu den spezifischen Firmware-Versionen. Der Hersteller hat korrigierende Firmware-Updates veröffentlicht, um diese Schwachstelle zu beheben. Ein Angreifer kann diese Sicherheitslücke nutzen, um einen ersten Zugangspunkt in das OT-Netzwerk zu erhalten und potenziell schwere physische Schäden zu verursachen.

Empfehlungen

• Sofortige Anwendung von Patches: Installieren Sie die neuesten Firmware-Updates, die von Mitsubishi Electric für die Module MELSEC iQ-R RJ71EIP91 und MELSEC iQ-F FX5-ENET/IP bereitgestellt wurden. Beziehen Sie sich auf die CISA-Warnmeldung ICSA-23-131-01 und die Dokumentation des Herstellers für die korrekten Versionen.
• Abhilfemaßnahmen:
• Wenn der FTP-Dienst für den Betrieb nicht essenziell ist, deaktivieren Sie ihn auf dem Modul.
• Implementieren Sie eine strikte Netzwerksegmentierung, um alle ICS/OT-Assets von Unternehmensnetzwerken (IT) und dem Internet zu isolieren. Netzwerke von Steuerungssystemen sollten niemals direkt aus dem Internet zugänglich sein.
• Verwenden Sie eine Firewall und erstellen Sie explizite ACL-Regeln, um den Zugriff auf den FTP-Port (TCP/21) der Module ausschließlich auf autorisierte IP-Adressen, wie z. B. Engineering-Workstations, zu beschränken.
• Überwachung und Erkennung:
• Überwachen Sie den Netzwerkverkehr auf FTP-Verbindungen zu MELSEC-Modulen, die aus nicht vertrauenswürdigen oder nicht genehmigten OT-Subnetzen stammen.
• Führen Sie Audits der Firewall- und Netzwerkprotokolle auf anomale oder unbefugte Zugriffsversuche auf den TCP-Port 21 bei kritischen SPS-Modulen durch.
• Implementieren Sie, falls möglich, Systeme zur Überwachung der Dateiintegrität (File Integrity Monitoring) und vergleichen Sie die Hashes aktueller Dateien mit bekannten, verifizierten Backups, um unbefugte Änderungen zu erkennen.
• Reaktion auf Vorfälle:
• Im Falle eines Verdachts auf Kompromittierung befolgen Sie die etablierten Verfahren, um das Gerät vom Netzwerk zu isolieren und Seitwärtsbewegungen oder weitere Prozessunterbrechungen zu vermeiden.
• Schalten Sie das Gerät nicht sofort aus. Bewahren Sie ein forensisches Abbild des Dateisystems für die Analyse auf, bevor Sie eine Wiederherstellung aus einem zuverlässigen und verifizierten Backup durchführen.
• Defense-in-Depth:
• Pflegen Sie regelmäßige Offline-Backups aller SPS-Projektdateien, Logiken und Konfigurationen.
• Wenden Sie strenge physische Sicherheitskontrollen für alle Schaltschränke der Steuerungssysteme und Anlagen der kritischen Infrastruktur an.

[Callforaction-THREAT-Footer]