ISGroup Consultoría de Ciberseguridad

CVE-2023-2063: Vulnerabilidad de manipulación de archivos FTP no autenticada en los módulos Mitsubishi Electric MELSEC EtherNet/IP

Mitsubishi Electric MELSEC iQ-R e iQ-F son módulos de PLC de alto rendimiento ampliamente utilizados en sistemas de control industrial (ICS) y entornos de tecnología operativa (OT). Estos módulos desempeñan un papel fundamental en la automatización de procesos industriales complejos en sectores como la fabricación, la energía y las infraestructuras críticas. Su función de conectividad con redes Ethernet estándar los convierte en un elemento crucial para las operaciones industriales modernas.

Un atacante remoto y no autenticado puede comprometer completamente el sistema de archivos de estos dispositivos esenciales. El impacto es grave, con la posibilidad de manipular procesos industriales, causar daños a los equipos, interrupciones en la producción o condiciones físicas peligrosas. La vulnerabilidad permite a un atacante sobrescribir la lógica de control, asumiendo de hecho el control del proceso automatizado gestionado por el PLC.

La vulnerabilidad dispone de un exploit público y la CISA ha emitido un aviso (ICSA-23-131-01) que destaca su riesgo. Cualquier organización que utilice estos módulos con servicios FTP accesibles en la red está expuesta a un riesgo significativo. La exposición es particularmente crítica en entornos con redes planas o segmentación inadecuada entre las zonas IT y OT, donde una vulneración de la red IT puede ser aprovechada para atacar estos sistemas de control críticos.

ProductoMitsubishi Electric MELSEC
Fecha2025-12-05 00:29:51

Resumen técnico

La vulnerabilidad es una CWE-306: Falta de autenticación para funciones críticas en el servicio FTP de los módulos Mitsubishi Electric MELSEC EtherNet/IP afectados. La implementación del servidor FTP no impone ningún mecanismo de autenticación, permitiendo que cualquier atacante remoto presente en la red se conecte y ejecute operaciones arbitrarias sobre los archivos.

Un atacante puede conectarse al servicio FTP en el puerto predeterminado (TCP/21) y obtener inmediatamente acceso privilegiado al sistema de archivos del dispositivo sin necesidad de proporcionar nombre de usuario ni contraseña. Esto permite el uso ilimitado de comandos FTP como PUT (subida), GET (descarga) y DELE (eliminación).

La cadena de ataque es sencilla:

  1. El atacante identifica un módulo MELSEC vulnerable en la red con el servicio FTP expuesto.
  2. Se conecta a través de un cliente FTP estándar.
  3. El servidor concede acceso al sistema de archivos sin solicitar credenciales.
  4. El atacante puede cargar firmware o lógica de control maliciosa para sobrescribir los programas legítimos, exfiltrar archivos de proyecto sensibles o eliminar archivos de configuración críticos para causar una interrupción del servicio (DoS).

Módulos afectados:

  • Módulo EtherNet/IP de la serie MELSEC iQ-R: RJ71EIP91
  • Módulo EtherNet/IP de la serie MELSEC iQ-F: FX5-ENET/IP

Consulte el boletín de Mitsubishi Electric para obtener detalles sobre las versiones de firmware específicas. El proveedor ha publicado actualizaciones de firmware correctivas para solucionar esta vulnerabilidad. Un atacante puede aprovechar este fallo para obtener un punto de acceso inicial en la red OT y potencialmente causar graves daños físicos.

Recomendaciones

  • Aplicar parches inmediatamente: Instale las últimas actualizaciones de firmware publicadas por Mitsubishi Electric para los módulos MELSEC iQ-R RJ71EIP91 y MELSEC iQ-F FX5-ENET/IP. Consulte el aviso CISA ICSA-23-131-01 y la documentación del proveedor para conocer las versiones correctas.
  • Mitigaciones:
  • Si el servicio FTP no es esencial para las operaciones, desactívelo en el módulo.
  • Implemente una segmentación de red rigurosa para aislar todos los activos ICS/OT de las redes corporativas (IT) y de Internet. Las redes de los sistemas de control nunca deben ser directamente accesibles desde Internet.
  • Utilice un firewall y cree reglas ACL explícitas para limitar el acceso al puerto FTP (TCP/21) de los módulos exclusivamente a direcciones IP autorizadas, como las estaciones de trabajo de ingeniería.
  • Monitoreo y detección:
  • Monitoree el tráfico de red en busca de conexiones FTP hacia los módulos MELSEC provenientes de subredes OT no confiables o no aprobadas.
  • Realice auditorías de los registros (logs) de firewall y red para detectar intentos de acceso anómalos o no autorizados al puerto TCP 21 en módulos PLC críticos.
  • Implemente, si es posible, sistemas de monitoreo de integridad de archivos y compare los hashes de los archivos actuales con copias de seguridad conocidas y verificadas para detectar modificaciones no autorizadas.
  • Respuesta a incidentes:
  • En caso de sospecha de compromiso, siga los procedimientos establecidos para aislar el dispositivo de la red y evitar movimientos laterales o interrupciones adicionales del proceso.
  • No apague el dispositivo inmediatamente. Conserve una imagen forense del sistema de archivos para su análisis antes de restaurar desde una copia de seguridad confiable y verificada.
  • Defensa en profundidad:
  • Mantenga copias de seguridad regulares y fuera de línea (offline) de todos los archivos de proyecto, lógicas y configuraciones del PLC.
  • Aplique controles físicos de seguridad estrictos para todos los armarios de los sistemas de control y activos de infraestructuras críticas.

[Callforaction-THREAT-Footer]

In