ISGroup Conseil en Cybersécurité

CVE-2023-2061 : Vulnérabilité de mot de passe FTP codé en dur dans les séries Mitsubishi Electric MELSEC iQ-R/iQ-F

Les séries Mitsubishi Electric MELSEC iQ-R et iQ-F sont des automates programmables industriels (API) couramment utilisés dans les systèmes de contrôle industriel (ICS) et les environnements OT (technologies opérationnelles) pour automatiser les processus de production. Ces dispositifs sont essentiels aux opérations d’usine, à la gestion des machines et à la continuité de la production. Une vulnérabilité dans un composant aussi critique représente un risque significatif pour les opérations industrielles.

Le risque principal est lié à la possibilité pour un attaquant distant non authentifié d’obtenir un accès FTP au système de fichiers de l’appareil. Cela compromettrait l’intégrité et la disponibilité du processus industriel contrôlé par l’automate. Bien qu’aucun cas d’exploitation active de cette vulnérabilité spécifique n’ait été signalé publiquement, sa faible complexité d’attaque et la disponibilité publique d’informations sur l’exploit en font une menace critique. Tous les modules MELSEC accessibles via le réseau sont à risque, en particulier dans les réseaux plats où les systèmes OT et IT ne sont pas correctement segmentés. Un accès non autorisé pourrait entraîner des interruptions opérationnelles, des dommages aux équipements ou des conditions de sécurité non garanties.

ProduitMitsubishi Electric MELSEC
Date2025-12-04 12:28:03

Résumé technique

La cause principale de cette vulnérabilité est CWE-798 : Utilisation d’identifiants codés en dur (hard-coded). Un mot de passe statique et non modifiable pour le service FTP est intégré directement dans le firmware des modules EtherNet/IP concernés. Ce mot de passe est identique pour tous les appareils vulnérables.

La séquence d’attaque est directe :

  1. Un attaquant ayant accès au réseau du module MELSEC identifie le port FTP ouvert (TCP/21).
  2. L’attaquant utilise le mot de passe codé en dur, connu publiquement, pour s’authentifier auprès du service FTP.
  3. Après une authentification réussie, l’attaquant obtient un accès en lecture, écriture et suppression sur le système de fichiers du module.

Cet accès permet à un adversaire de télécharger des fichiers de configuration sensibles, de charger des firmwares modifiés ou malveillants, ou de modifier les paramètres opérationnels dans le but d’interrompre ou de saboter le processus industriel géré par l’automate.

Modules concernés :

  • Module EtherNet/IP MELSEC iQ-R Series RJ71EIP91
  • Module EtherNet/IP MELSEC iQ-F Series FX5-ENET/IP

Les utilisateurs doivent consulter les communications officielles du fabricant pour obtenir des informations sur les versions de firmware corrigées.

Recommandations

  • Appliquer les correctifs immédiatement : Consultez les avis de Mitsubishi Electric pour connaître les versions de firmware corrigées pour les modules concernés des séries MELSEC iQ-R et iQ-F, et appliquez-les dès que possible, en suivant les procédures de test prévues pour les environnements OT.
  • Mesures d’atténuation :
    • Si la fonctionnalité FTP n’est pas nécessaire, désactivez le service sur le module.
    • Mettez en œuvre une segmentation réseau rigoureuse pour isoler le réseau ICS/OT du réseau informatique de l’entreprise et d’Internet.
    • Utilisez des listes de contrôle d’accès (ACL) sur les pare-feu et les commutateurs réseau pour limiter l’accès au port FTP du module (TCP/21) exclusivement aux stations de travail d’ingénierie ou aux serveurs de gestion autorisés.

  • Activités de détection et de surveillance :

    • Surveillez les journaux réseau pour détecter toute tentative de connexion FTP aux modules concernés provenant d’adresses IP non autorisées.
    • Vérifiez les configurations des pare-feu et des commutateurs pour vous assurer qu’aucun chemin non autorisé n’existe vers le réseau OT sensible.

  • Réponse aux incidents :

    • En cas de compromission suspectée, isolez immédiatement le module concerné du réseau pour empêcher les mouvements latéraux ou tout impact supplémentaire sur le processus industriel.
    • Conservez l’appareil pour une analyse forensique et restaurez la configuration et le firmware à partir d’une sauvegarde connue et sécurisée.

  • Défense en profondeur :

    • Assurez-vous que des sauvegardes sécurisées et hors ligne des configurations et du firmware des automates sont maintenues.
    • Mettez en œuvre un programme solide de gestion des actifs pour suivre tous les appareils OT et leurs versions de firmware, afin d’identifier rapidement les systèmes vulnérables.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *