ISGroup Conseil en Cybersécurité

CVE-2023-2061 : Vulnérabilité de mot de passe FTP codé dans les modules Mitsubishi Electric MELSEC EtherNet/IP

Les modules Mitsubishi Electric MELSEC iQ-R et iQ-F sont des automates programmables industriels (API/PLC) largement utilisés dans les systèmes de contrôle industriel (ICS) et les environnements de technologie opérationnelle (OT). Ces dispositifs sont des composants fondamentaux dans les secteurs de la production, de l’automatisation et des infrastructures critiques, où ils gèrent des processus physiques sensibles et à fort impact.

Le risque principal provient d’un mot de passe codé en dur dans le service FTP, qui permet à un attaquant distant non authentifié ayant accès au réseau d’obtenir un contrôle total sur le système de fichiers du dispositif. Cela permet d’interrompre ou d’altérer les processus industriels, avec des conséquences potentielles telles que des arrêts opérationnels, des dommages aux équipements ou la production d’articles non conformes aux spécifications.

Bien que cette vulnérabilité ne soit pas incluse dans le catalogue KEV de la CISA, un exploit public existe, et la simplicité de l’attaque (connaissance d’un mot de passe statique) rend sa réussite hautement probable. Toute organisation utilisant des modules MELSEC iQ-R ou iQ-F EtherNet/IP accessibles depuis le réseau est exposée à un risque immédiat. L’impact est amplifié dans les architectures réseau plates où les environnements IT et OT ne sont pas correctement segmentés.

ProduitModules Mitsubishi Electric MELSEC EtherNet/IP
Date05-12-2025 00:14:28

Résumé technique

La vulnérabilité est une CWE-798 : Utilisation d’identifiants codés en dur. Un mot de passe statique et non configurable pour le service FTP est intégré directement dans le firmware des modules Mitsubishi Electric MELSEC EtherNet/IP concernés. Un attaquant ayant un accès réseau au port FTP du dispositif peut s’authentifier en utilisant ce mot de passe publiquement connu.

La chaîne d’attaque est simple :

  1. Un attaquant identifie un module MELSEC vulnérable sur le réseau, tel que le RJ71EIP91 ou le FX5-ENET/IP.
  2. L’attaquant initie une connexion FTP vers le port FTP ouvert du dispositif (TCP/21).
  3. L’attaquant s’authentifie en utilisant les identifiants codés en dur largement disponibles.
  4. Une fois authentifié, l’attaquant obtient des privilèges complets de lecture, d’écriture et de suppression sur le système de fichiers du module.

Cet accès permet à un attaquant de télécharger des fichiers de projet sensibles, qui peuvent contenir de la propriété intellectuelle relative au processus industriel. Plus grave encore, un attaquant peut charger des logiques de contrôle modifiées pour manipuler les opérations physiques ou supprimer des fichiers système critiques, provoquant une condition de déni de service (DoS) qui bloque la production.

Modules concernés :

  • Module MELSEC iQ-R Series EtherNet/IP : RJ71EIP91
  • Module MELSEC iQ-F Series EtherNet/IP : FX5-ENET/IP

Les utilisateurs doivent consulter les avis de Mitsubishi Electric pour obtenir des informations sur les versions de firmware mises à jour.

Recommandations

  • Appliquer les correctifs immédiatement : Installez les mises à jour du firmware fournies par Mitsubishi Electric pour les modules concernés dès que possible.
  • Atténuations :
    • Si la fonctionnalité FTP n’est pas essentielle aux opérations de l’entreprise, désactivez le serveur FTP sur le module.
    • Mettez en œuvre des listes de contrôle d’accès (ACL) strictes et des règles de pare-feu pour garantir que seuls les dispositifs et le personnel autorisés puissent accéder au port FTP (TCP/21) sur les contrôleurs.
    • Réduisez au minimum l’exposition de tous les dispositifs du système de contrôle aux réseaux non fiables. Dans la mesure du possible, isolez les réseaux OT des réseaux IT.

  • Chasse aux menaces et surveillance :

    • Surveillez activement le trafic réseau pour détecter les connexions FTP vers les modules MELSEC concernés. Enquêtez sur toute connexion provenant d’adresses IP non autorisées ou inattendues.
    • Surveillez l’intégrité des fichiers de projet des API. Mettez en œuvre un système pour calculer la somme de contrôle (checksum) des fichiers et signaler toute modification non autorisée.
    • Analysez les journaux d’audit à la recherche de modèles d’accès aux fichiers indiquant des opérations d’énumération ou de lecture/écriture/suppression non autorisées.

  • Réponse aux incidents :

    • En cas de compromission suspectée, isolez immédiatement les modules concernés du réseau pour empêcher les mouvements latéraux ou d’autres interruptions.
    • Effectuez une analyse forensique pour déterminer l’étendue de la compromission.
    • Restaurez le dispositif à un état connu et sûr en utilisant une image de firmware fiable et un fichier de projet provenant d’une sauvegarde sécurisée.

  • Défense en profondeur :

    • Appliquez une segmentation réseau robuste entre les environnements IT et OT pour protéger les systèmes de contrôle critiques.
    • Maintenez des sauvegardes sécurisées et hors ligne de toutes les configurations et fichiers de projet API critiques.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *