ISGroup Consultoría de Ciberseguridad

CVE-2023-2063: Vulnerabilidad de autenticación faltante en el módulo EtherNet/IP de Mitsubishi Electric MELSEC

Mitsubishi Electric MELSEC iQ-R e iQ-F son PLC (Controladores Lógicos Programables) ampliamente distribuidos en sistemas de control industrial (ICS) y entornos de tecnología operativa (OT). Estos módulos son componentes fundamentales en la automatización de infraestructuras críticas, como plantas de producción, redes energéticas e instalaciones de tratamiento de agua. Su compromiso puede tener consecuencias graves que van más allá de la simple pérdida de datos, incluyendo posibles interrupciones físicas e incidentes de seguridad.

Esta vulnerabilidad representa un riesgo elevado, ya que permite a un atacante remoto no autenticado obtener el control total del sistema de archivos del dispositivo. Aunque la puntuación CVSS es 6.3 (Media), el potencial de interrupción operativa aumenta el riesgo real. Cualquier módulo accesible en la red con el servicio FTP habilitado está expuesto. Un atacante podría detener la producción, manipular procesos industriales o crear condiciones físicas peligrosas.

Aunque no hay pruebas de explotación activa en la naturaleza y esta CVE no está actualmente incluida en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, la disponibilidad de un exploit público aumenta la probabilidad de futuros ataques. Las organizaciones que utilizan estos módulos para procesos críticos deben implementar medidas correctivas de inmediato.

ProductoMELSEC
Fecha2025-12-04 12:17:56

Resumen técnico

La vulnerabilidad es una CWE-306: Autenticación faltante para función crítica dentro del servicio FTP en módulos específicos MELSEC EtherNet/IP. El servicio no implementa controles de autenticación adecuados, permitiendo que cualquier atacante remoto en la red se conecte y ejecute operaciones con altos privilegios en el sistema de archivos sin proporcionar credenciales.

La secuencia del ataque es sencilla:

  1. Un atacante identifica un módulo MELSEC vulnerable en la red con el puerto FTP (TCP/21) expuesto.
  2. El atacante inicia una conexión FTP utilizando un cliente estándar.
  3. El servicio FTP concede acceso inmediato e ilimitado al sistema de archivos raíz del dispositivo.
  4. Utilizando comandos FTP estándar (PUT, GET, DELE), el atacante puede exfiltrar datos sensibles, sobrescribir archivos lógicos del PLC legítimos con código malicioso o eliminar archivos de sistema críticos para provocar una Denegación de Servicio (DoS).

Al modificar la lógica del PLC, un atacante puede obtener ejecución arbitraria de código en el contexto del proceso industrial, permitiendo la manipulación directa del equipo físico.

Módulos afectados:

  • Módulo EtherNet/IP MELSEC serie iQ-R RJ71EIP91
  • Módulo EtherNet/IP MELSEC serie iQ-F FX5-ENET/IP

Los usuarios deben consultar a Mitsubishi Electric para obtener información sobre las versiones de firmware actualizadas.

Recomendaciones

  • Aplicar parches inmediatamente: Contactar a Mitsubishi Electric para obtener e instalar las actualizaciones de firmware más recientes para los módulos RJ71EIP91 y FX5-ENET/IP afectados.

  • Mitigaciones:

    • Si la funcionalidad FTP no es esencial para las operaciones, deshabilitar inmediatamente el servicio FTP en el dispositivo.
    • Implementar una segmentación de red rigurosa para aislar las redes de los sistemas de control de las redes corporativas (IT) y externas.
    • Utilizar un firewall o listas de control de acceso (ACL) para limitar el acceso al puerto FTP (TCP/21) en los módulos, permitiendo conexiones solo desde estaciones de trabajo de ingeniería o servidores de gestión explícitamente autorizados.

  • Búsqueda y Monitoreo:

    • Monitorear los registros (logs) de red ante cualquier conexión FTP a los módulos afectados provenientes de direcciones IP no confiables o no autorizadas.
    • Implementar el monitoreo de integridad de archivos en los dispositivos para detectar modificaciones no autorizadas en la lógica del PLC o en los archivos de configuración.
    • Analizar los registros del dispositivo en busca de reinicios inexplicables, cambios en la lógica o errores que puedan indicar un compromiso.

  • Respuesta a incidentes:

    • Si se sospecha de un compromiso, seguir el plan de respuesta a incidentes específico para OT. Aislar los dispositivos comprometidos de la red para contener la amenaza y evitar movimientos laterales.
    • Crear imágenes forenses de la memoria y del sistema de archivos del dispositivo para análisis posteriores.

  • Defensa en profundidad:

    • Asegurarse de mantener copias de seguridad regulares y verificadas de toda la lógica del PLC y los archivos de configuración.
    • Aplicar controles de acceso fuertes y autenticación para todos los accesos a la red y a los dispositivos OT.

[Callforaction-THREAT-Footer]

In