ISGroup Consultoría de Ciberseguridad

CVE-2023-2060: Vulnerabilidad de contraseña FTP débil en módulos MELSEC EtherNet/IP de Mitsubishi Electric

Mitsubishi Electric MELSEC iQ-R e iQ-F son módulos de control industrial utilizados en infraestructuras críticas y sectores manufactureros para automatizar procesos complejos. La importancia crítica de estos dispositivos para las empresas es extremadamente alta, ya que su compromiso puede provocar graves interrupciones operativas, paradas de producción y posibles riesgos para la seguridad física.

El riesgo principal deriva de una política insuficiente de gestión de contraseñas para el servicio FTP, lo que permite el uso de credenciales débiles o fácilmente adivinables. Esto hace que los módulos sean extremadamente vulnerables a accesos no autorizados por parte de atacantes remotos y no autenticados. Aunque no se han reportado casos de explotación activa de esta vulnerabilidad en el escenario actual, está incluida en un aviso ICS (Sistemas de Control Industrial) de CISA y existe un exploit público disponible. La baja complejidad requerida para el ataque convierte a cualquier dispositivo expuesto a internet o no segmentado correctamente en un objetivo valioso para ataques oportunistas o dirigidos. Las organizaciones que no aplican criterios de contraseñas robustas en estos dispositivos están en riesgo inmediato de compromiso.

ProductoSerie MELSEC iQ-R/F EtherNet/IP
Fecha2025-12-04 12:40:00

Resumen técnico

La causa principal de esta vulnerabilidad se clasifica como CWE-521: Requisitos de contraseña débiles. El servicio FTP en los módulos Mitsubishi Electric MELSEC afectados no impone requisitos de complejidad, longitud o rotación de contraseñas, lo que permite a los administradores establecer credenciales triviales o predeterminadas. Un atacante puede aprovechar esta debilidad sin autenticación ejecutando ataques de diccionario o de fuerza bruta contra el servicio FTP.

La secuencia de ataque se desarrolla de la siguiente manera:

  1. Un atacante identifica un servicio FTP expuesto (puerto TCP 21) en un módulo MELSEC vulnerable.
  2. El atacante inicia un gran número de intentos de acceso utilizando una lista de contraseñas comunes o predeterminadas.
  3. Debido a la ausencia de requisitos de complejidad para las contraseñas y la posible falta de protección contra ataques de fuerza bruta, el atacante logra eventualmente adivinar las credenciales correctas.
  4. Tras obtener la autenticación con éxito, el atacante adquiere acceso completo de lectura, escritura y eliminación al sistema de archivos del módulo mediante el protocolo FTP.

Este acceso permite al atacante manipular archivos críticos, incluida la lógica del PLC, archivos de proyecto y configuraciones del sistema. Alterar la lógica del PLC puede modificar directamente el proceso industrial controlado por el dispositivo, lo que puede provocar daños en las instalaciones o condiciones operativas peligrosas.

Módulos afectados:

  • Módulo EtherNet/IP serie MELSEC iQ-R RJ71EIP91
  • Módulo EtherNet/IP serie MELSEC iQ-F FX5-ENET/IP

No existe un parche específico para este problema, ya que se trata de una debilidad de configuración. La mitigación requiere la adopción de prácticas de configuración segura.

Recomendaciones

  • Aplicar cambios inmediatos en la configuración: Esta vulnerabilidad se mitiga mediante una acción del usuario, no con un parche de software. Aplique inmediatamente una contraseña fuerte, compleja y única para el servicio FTP en todos los módulos MELSEC afectados.
  • Segmentación de red y control de acceso: Asegúrese de que los módulos afectados no estén expuestos a internet. Limite el acceso al servicio FTP (puerto TCP 21) a una VLAN de gestión dedicada o a un conjunto limitado de direcciones IP autorizadas. Adopte un modelo de seguridad Zero Trust siempre que sea posible.
  • Deshabilitar servicios innecesarios: Si el servicio FTP no es esencial para las operaciones, deshabilítelo completamente en el módulo para eliminar esta superficie de ataque.
  • Hunt & Monitor:
    • Monitoree los registros de red para detectar un gran número de intentos fallidos de inicio de sesión FTP contra los módulos MELSEC, lo cual es una señal posible de un ataque de fuerza bruta en curso.
    • Revise los registros del firewall en busca de intentos de conexión no autorizados en el puerto TCP 21 hacia dispositivos dentro de la red OT.
    • Implemente sistemas de monitoreo de integridad de archivos críticos para detectar modificaciones no autorizadas.

  • Gestión de incidentes:

    • Si se sospecha de un compromiso, aísle inmediatamente el dispositivo afectado de la red para evitar impactos adicionales.
    • Realice un análisis forense para determinar el alcance de la intrusión.
    • Restaure el dispositivo desde una copia de seguridad íntegra realizada antes del compromiso sospechoso y establezca una contraseña robusta antes de volver a conectarlo a la red.

  • Defensa en profundidad:

    • Realice auditorías periódicas de las configuraciones de todos los dispositivos ICS para identificar y corregir contraseñas débiles y configuraciones inseguras.
    • Mantenga copias de seguridad fuera de línea (offline) de toda la lógica del PLC y de los archivos de configuración.

[Callforaction-THREAT-Footer]

In