ISGroup Consultoría de Ciberseguridad

CVE-2023-2061: Vulnerabilidad de contraseña FTP hard-coded en la serie MELSEC iQ-R/iQ-F de Mitsubishi Electric

Mitsubishi Electric MELSEC iQ-R y iQ-F Series son controladores lógicos programables (PLC) comúnmente utilizados en sistemas de control industrial (ICS) y entornos OT (Tecnología Operativa) para automatizar procesos de producción. Estos dispositivos son fundamentales para las operaciones de fábrica, la gestión de maquinaria y la continuidad de la producción. Una vulnerabilidad en un componente tan crítico representa un riesgo significativo para las operaciones industriales.

El riesgo principal es la posibilidad de que un atacante remoto no autenticado obtenga acceso FTP al sistema de archivos del dispositivo. Esto comprometería la integridad y la disponibilidad del proceso industrial controlado por el PLC. Aunque no se han reportado públicamente casos de explotación activa de esta vulnerabilidad específica, su baja complejidad de ataque y la disponibilidad pública de información sobre el exploit la convierten en una amenaza crítica. Todos los módulos MELSEC accesibles desde la red están en riesgo, especialmente en redes planas donde los sistemas OT e IT no están adecuadamente segmentados. Un acceso no autorizado podría causar interrupciones operativas, daños a los equipos o condiciones de seguridad no garantizadas.

ProductoMitsubishi Electric MELSEC
Fecha2025-12-04 12:28:03

Resumen técnico

La causa principal de esta vulnerabilidad es CWE-798: Uso de credenciales codificadas (hard-coded). Una contraseña estática y no modificable para el servicio FTP está incorporada directamente dentro del firmware de los módulos EtherNet/IP afectados. Esta contraseña es la misma para todos los dispositivos vulnerables.

La secuencia de ataque es directa:

  1. Un atacante con acceso a la red del módulo MELSEC localiza el puerto FTP abierto (TCP/21).
  2. El atacante utiliza la contraseña codificada conocida públicamente para autenticarse en el servicio FTP.
  3. Tras una autenticación exitosa, el atacante obtiene acceso de lectura, escritura y eliminación al sistema de archivos del módulo.

Este acceso permite a un adversario descargar archivos de configuración sensibles, cargar firmware modificado o malicioso, o modificar parámetros operativos con la intención de interrumpir o sabotear el proceso industrial gestionado por el PLC.

Módulos afectados:

  • MELSEC iQ-R Series EtherNet/IP module RJ71EIP91
  • MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP

Los usuarios deben consultar las comunicaciones oficiales del fabricante para obtener información sobre las versiones de firmware corregidas.

Recomendaciones

  • Aplicar parches inmediatamente: Consulte los avisos de Mitsubishi Electric para obtener las versiones de firmware corregidas para los módulos afectados de las series MELSEC iQ-R e iQ-F y aplíquelas lo antes posible, siguiendo los procedimientos de prueba previstos para entornos OT.
  • Medidas de mitigación:
    • Si la funcionalidad FTP no es necesaria, deshabilite el servicio en el módulo.
    • Implemente una segmentación de red rigurosa para aislar la red ICS/OT de la red IT corporativa y de Internet.
    • Utilice listas de control de acceso (ACL) en firewalls y switches de red para limitar el acceso al puerto FTP del módulo (TCP/21) exclusivamente a estaciones de trabajo de ingeniería o servidores de gestión autorizados.

  • Actividades de detección y monitoreo:

    • Monitoree los registros (logs) de red en busca de intentos de conexión FTP a los módulos afectados provenientes de direcciones IP no autorizadas.
    • Verifique las configuraciones de firewalls y switches para asegurarse de que no existan rutas no autorizadas hacia la red OT sensible.

  • Respuesta ante incidentes:

    • En caso de sospecha de compromiso, aísle inmediatamente el módulo afectado de la red para prevenir movimientos laterales o impactos adicionales en el proceso industrial.
    • Conserve el dispositivo para un análisis forense y restaure la configuración y el firmware desde una copia de seguridad conocida y segura.

  • Defensa en profundidad:

    • Asegúrese de mantener copias de seguridad seguras y fuera de línea (offline) de las configuraciones y el firmware de los PLC.
    • Implemente un programa sólido de gestión de activos para rastrear todos los dispositivos OT y sus versiones de firmware, con el fin de identificar prontamente los sistemas vulnerables.

[Callforaction-THREAT-Footer]

In