ISGroup Consultoría de Ciberseguridad

CVE-2023-2061: Vulnerabilidad de contraseña FTP codificada en módulos Mitsubishi Electric MELSEC EtherNet/IP

Mitsubishi Electric MELSEC iQ-R e iQ-F son módulos de Controlador Lógico Programable (PLC) ampliamente utilizados en sistemas de control industrial (ICS) y entornos de tecnología operativa (OT). Estos dispositivos son componentes fundamentales en los sectores de fabricación, automatización e infraestructuras críticas, y gestionan procesos físicos sensibles y de alto impacto.

El riesgo principal se deriva de una contraseña codificada (hardcoded) en el servicio FTP, que permite a un atacante remoto no autenticado con acceso a la red obtener el control total del sistema de archivos del dispositivo. Esto permite la posibilidad de interrumpir o alterar los procesos industriales, con posibles consecuencias como paradas operativas, daños en los equipos o producción de artículos fuera de especificación.

Aunque esta vulnerabilidad no está incluida en el catálogo KEV de CISA, existe un exploit público, y la simplicidad del ataque (conocimiento de una contraseña estática) hace altamente probable su éxito. Cualquier organización con módulos MELSEC iQ-R o iQ-F EtherNet/IP accesibles desde la red está en riesgo inmediato. El impacto se amplifica en arquitecturas de red planas donde los entornos IT y OT no están adecuadamente segmentados.

ProductoMódulos Mitsubishi Electric MELSEC EtherNet/IP
Fecha2025-12-05 00:14:28

Resumen técnico

La vulnerabilidad es una CWE-798: Uso de credenciales codificadas. Una contraseña estática y no configurable para el servicio FTP está incorporada directamente en el firmware de los módulos Mitsubishi Electric MELSEC EtherNet/IP afectados. Un atacante con acceso de red al puerto FTP del dispositivo puede autenticarse utilizando esta contraseña conocida públicamente.

La cadena de ataque es sencilla:

  1. Un atacante identifica un módulo MELSEC vulnerable en la red, como RJ71EIP91 o FX5-ENET/IP.
  2. El atacante inicia una conexión FTP al puerto FTP abierto del dispositivo (TCP/21).
  3. El atacante se autentica utilizando las credenciales codificadas ampliamente disponibles.
  4. Una vez efectuada la autenticación, el atacante obtiene privilegios completos de lectura, escritura y eliminación en el sistema de archivos del módulo.

Este acceso permite a un atacante descargar archivos de proyecto sensibles, que pueden contener propiedad intelectual relacionada con el proceso industrial. Más críticamente, un atacante puede cargar lógicas de control modificadas para manipular operaciones físicas o eliminar archivos de sistema críticos, causando una condición de denegación de servicio (DoS) que bloquea la producción.

Módulos afectados:

  • Módulo MELSEC iQ-R Series EtherNet/IP: RJ71EIP91
  • Módulo MELSEC iQ-F Series EtherNet/IP: FX5-ENET/IP

Los usuarios deben consultar los avisos de Mitsubishi Electric para obtener información sobre las versiones de firmware actualizadas.

Recomendaciones

  • Aplicar los parches inmediatamente: Instalar las actualizaciones de firmware proporcionadas por Mitsubishi Electric para los módulos afectados lo antes posible.
  • Mitigaciones:
    • Si la funcionalidad FTP no es esencial para la operatividad empresarial, desactive el servidor FTP en el módulo.
    • Implementar listas de control de acceso (ACL) estrictas y reglas de firewall para asegurar que solo dispositivos y personal autorizados puedan acceder al puerto FTP (TCP/21) en los controladores.
    • Reducir al mínimo la exposición de todos los dispositivos del sistema de control a redes no confiables. Cuando sea posible, aísle las redes OT de las IT.

  • Hunting y Monitoreo:

    • Monitorear activamente el tráfico de red para detectar conexiones FTP a los módulos MELSEC afectados. Investigar cualquier conexión proveniente de direcciones IP no autorizadas o inesperadas.
    • Monitorear la integridad de los archivos de proyecto de los PLC. Implementar un sistema para calcular el checksum de los archivos y reportar cualquier modificación no autorizada.
    • Analizar los registros de auditoría (logs) en busca de patrones de acceso a archivos que indiquen operaciones de enumeración o lectura/escritura/eliminación no autorizadas.

  • Respuesta a incidentes:

    • En caso de sospecha de compromiso, aísle inmediatamente los módulos afectados de la red para prevenir movimientos laterales o interrupciones adicionales.
    • Ejecutar un análisis forense para determinar la extensión del compromiso.
    • Restaurar el dispositivo a un estado conocido y seguro utilizando una imagen de firmware confiable y un archivo de proyecto proveniente de una copia de seguridad segura.

  • Defensa en profundidad:

    • Aplicar una segmentación de red robusta entre entornos IT y OT para proteger los sistemas de control críticos.
    • Mantener copias de seguridad seguras y fuera de línea de todas las configuraciones y archivos de proyecto críticos del PLC.

[Callforaction-THREAT-Footer]

In