ISGroup Conseil en Cybersécurité

CVE-2023-2060 : Vulnérabilité de mot de passe faible dans le serveur FTP de Mitsubishi Electric MELSEC

Les automates programmables industriels (API) Mitsubishi Electric MELSEC iQ-R et iQ-F sont utilisés à l’échelle mondiale dans les systèmes de contrôle industriel (ICS) et les environnements de technologie opérationnelle (OT). Ces dispositifs sont fondamentaux pour automatiser les processus de production, contrôler les machines et gérer les infrastructures. Une vulnérabilité dans un composant aussi critique représente un risque significatif pour l’intégrité opérationnelle et la sécurité.

Le risque principal consiste en un accès distant non autorisé au système de fichiers de l’API via le serveur FTP intégré. Cela pourrait permettre à un attaquant de manipuler la logique de l’API, provoquant des interruptions de production, des dommages aux équipements ou des conditions opérationnelles dangereuses. Bien qu’il n’y ait aucun signalement public d’exploitation active et que ce CVE ne soit pas actuellement répertorié dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA, le vecteur d’attaque (force brute sur des identifiants faibles) est trivial à exécuter pour quiconque dispose d’un accès réseau au dispositif.

Toute organisation utilisant ces modules MELSEC EtherNet/IP devrait considérer cette vulnérabilité comme une priorité élevée. L’exposition est particulièrement critique dans les environnements dotés de réseaux plats où les systèmes informatiques (IT) peuvent communiquer directement avec les actifs OT, ou lorsque l’accès distant au réseau OT n’est pas correctement sécurisé.

ProduitSérie Mitsubishi Electric MELSEC iQ-R/F
Date05-12-2025 00:26:01

Résumé technique

La cause principale de cette vulnérabilité est la CWE-521 : Exigences de mot de passe faibles pour la fonction de serveur FTP intégrée dans les modules EtherNet/IP concernés. Le micrologiciel n’impose pas de règles de complexité, permettant aux opérateurs de définir des mots de passe simples et facilement devinables, vulnérables aux attaques par dictionnaire ou par force brute.

Un attaquant ayant un accès réseau au port FTP du module peut tenter systématiquement de se connecter en utilisant une liste d’identifiants courants ou par défaut.

Chaîne d’attaque :

  1. Un attaquant scanne le réseau et identifie un port FTP ouvert sur un module EtherNet/IP MELSEC.
  2. L’attaquant lance une attaque par dictionnaire ou par force brute contre le mécanisme d’authentification FTP.
  3. En raison des politiques de mots de passe faibles, l’attaquant parvient à s’authentifier.
  4. Une fois authentifié, l’attaquant dispose de permissions de lecture, d’écriture et de suppression sur le système de fichiers de l’API. Cela peut être exploité pour exfiltrer des données de configuration sensibles, charger une logique malveillante ou supprimer des fichiers critiques afin de provoquer un déni de service.

Modules concernés :

  • Module EtherNet/IP série MELSEC iQ-R : Modèle RJ71EIP91
  • Module EtherNet/IP série MELSEC iQ-F : Modèle FX5-ENET/IP

Il n’existe pas de correctif spécifique pour ce problème, car il est considéré comme une faiblesse de configuration. Le fournisseur recommande de mettre en œuvre les meilleures pratiques de sécurité.

Recommandations

  • Appliquer immédiatement les mesures d’atténuation du fournisseur : Imposer l’utilisation de mots de passe forts, complexes et uniques pour le serveur FTP et toutes les autres interfaces de l’API. Se référer aux directives du fournisseur pour la configuration des mots de passe.
  • Limiter l’accès réseau : Si la fonctionnalité de serveur FTP n’est pas essentielle aux opérations, désactivez-la. Si elle est nécessaire, mettez en œuvre des règles de pare-feu restrictives et des listes de contrôle d’accès (ACL) pour garantir que seuls les systèmes autorisés puissent communiquer avec le port FTP de l’API.
  • Isoler les systèmes de contrôle : Mettre en œuvre une segmentation réseau pour isoler les réseaux OT critiques des réseaux informatiques d’entreprise. Cela empêche les attaquants de se déplacer latéralement d’un système informatique compromis vers un système de contrôle sensible. Utilisez une architecture DMZ pour tout transfert de données nécessaire.
  • Chasse et surveillance :
    • Surveiller le trafic réseau pour détecter un volume anormal de tentatives de connexion FTP infructueuses dirigées vers les automates. Il s’agit d’un indicateur primaire d’une attaque par force brute en cours.
    • Mettre en œuvre une solution de surveillance de l’intégrité des fichiers (FIM) ou effectuer des audits périodiques du système de fichiers de l’API pour détecter les modifications, ajouts ou suppressions non autorisés.

  • Réponse aux incidents : En cas de compromission suspectée, isoler immédiatement le module concerné du réseau pour contenir la menace. Activer le plan de réponse aux incidents de l’installation et préserver les journaux et les données forensiques pour l’enquête.
  • Défense en profondeur : S’assurer que les stations d’ingénierie sont protégées et que l’utilisation de supports amovibles est strictement contrôlée. Maintenir et tester des sauvegardes hors ligne des configurations et de la logique des API connues comme fiables pour permettre une restauration rapide.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *