ISGroup Consultoría de Ciberseguridad

CVE-2023-2062: Vulnerabilidad de transmisión de contraseñas en texto plano en las herramientas de configuración EtherNet/IP de Mitsubishi Electric

Las herramientas de configuración EtherNet/IP de Mitsubishi Electric son utilidades de software utilizadas por ingenieros en entornos de Tecnología Operativa (OT) para configurar y gestionar componentes de sistemas de control industrial (ICS), específicamente los módulos de las series MELSEC iQ-R e iQ-F. Estos módulos son fundamentales para la automatización de procesos industriales en los sectores de manufactura, energía y otras infraestructuras críticas.

El riesgo principal de CVE-2023-2062 es la exposición de credenciales sensibles en la red. Un atacante no autenticado que ya haya obtenido un punto de apoyo en la red OT puede interceptar pasivamente las contraseñas FTP transmitidas en texto plano por el software de configuración vulnerable. Esto permite al atacante eludir los mecanismos de autenticación y obtener acceso directo no autorizado a los módulos industriales.

Aunque no hay evidencia de explotación activa en entornos reales, existe un exploit de prueba de concepto público, lo que aumenta la probabilidad de ataques futuros. La vulnerabilidad afecta a los sistemas donde el tráfico de red puede ser monitoreado, haciendo particularmente vulnerables a los entornos con redes planas y no segmentadas o estaciones de trabajo de ingeniería comprometidas. Un exploit exitoso podría derivar en el robo de archivos de configuración sensibles, la carga de lógica maliciosa o el sabotaje completo de los procesos industriales físicos.

ProductoMitsubishi Electric EtherNet/IP Configuration Tool
Fecha2025-12-05 00:12:52

Resumen técnico

La causa principal de esta vulnerabilidad es CWE-319: Transmisión en texto plano de información sensible. Las herramientas de configuración EtherNet/IP afectadas, SW1DNN-EIPCT-BD y SW1DNN-EIPCTFX5-BD, transmiten las credenciales FTP a los módulos MELSEC sin ninguna forma de cifrado.

La secuencia del ataque es la siguiente:

  1. Un operador utiliza la herramienta de configuración vulnerable para conectarse a un módulo EtherNet/IP MELSEC serie iQ-R o iQ-F.
  2. Durante la fase de conexión, la herramienta realiza la autenticación con el servicio FTP del módulo.
  3. La contraseña FTP se envía en un campo en texto plano dentro del paquete de red.
  4. Un atacante posicionado en el mismo segmento de la red local puede utilizar una herramienta de sniffing (por ejemplo, Wireshark) para capturar este tráfico y extraer la contraseña.
  5. Con la contraseña obtenida, el atacante puede autenticarse de forma autónoma en el servidor FTP del módulo, obteniendo acceso de lectura y escritura no autorizado al sistema de archivos del dispositivo.

El siguiente ejemplo conceptual ilustra el flujo de datos inseguro:

// Lógica vulnerable (Conceptual)
func connectToModule(ip, user, password) {
  // La contraseña se envía a través de un canal no cifrado (FTP)
  ftp_connection = ftp.connect(ip, user, password)
  return ftp_connection
}

Un atacante puede aprovechar este acceso para descargar, modificar o cargar configuraciones del dispositivo, alterando potencialmente el proceso físico gestionado por el controlador. Todas las versiones del software afectado se consideran vulnerables; los usuarios deben actualizar a la versión más reciente proporcionada por el fabricante.

Recomendaciones

  • Aplicar el parche de inmediato: Actualizar todas las instancias de SW1DNN-EIPCT-BD y SW1DNN-EIPCTFX5-BD a las versiones más recientes disponibles de Mitsubishi Electric.

  • Mitigaciones:

    • Implementar una segmentación de red estricta para aislar los sistemas de control industrial de las redes corporativas (IT). Aplicar el principio de privilegio mínimo, asegurándose de que solo las estaciones de ingeniería autorizadas puedan comunicarse con los módulos MELSEC.
    • Utilizar firewalls y listas de control de acceso (ACL) para limitar el acceso FTP (típicamente puerto TCP 21) a los módulos desde direcciones IP no autorizadas.
    • Reducir al mínimo el uso de protocolos en texto plano y no cifrados como FTP en la red OT.

  • Caza y monitoreo:

    • Monitorear activamente el tráfico de red en busca de intentos de autenticación FTP en texto plano hacia los módulos MELSEC. Las herramientas de monitoreo de seguridad de red pueden configurarse para alertar sobre los comandos FTP USER y PASS.
    • Verificar los registros (logs) en los módulos (si están disponibles) y en los servidores syslog centrales para detectar conexiones FTP provenientes de direcciones IP inesperadas o no autorizadas.
    • Controlar volúmenes inusuales de descarga o carga de archivos desde los módulos industriales.

  • Respuesta ante incidentes:

    • Si se sospecha de un compromiso, aislar inmediatamente los módulos afectados de la red para prevenir movimientos laterales o actividades maliciosas adicionales.
    • Forzar un cambio de contraseña en todos los módulos MELSEC después de verificar que la herramienta de configuración haya sido actualizada.
    • Realizar una comprobación de integridad de las configuraciones de los dispositivos comparándolas con la última copia de seguridad conocida como válida.

  • Defensa en profundidad:

    • Mantener un inventario completo y actualizado de todos los activos OT y su accesibilidad de red.
    • Asegurarse de que existan copias de seguridad regulares y validadas de las configuraciones de todos los dispositivos ICS para posibles restauraciones.

[Callforaction-THREAT-Footer]

In