ISGroup Conseil en Cybersécurité

CVE-2023-2063 : Vulnérabilité de manipulation de fichiers FTP non authentifiée dans les modules Mitsubishi Electric MELSEC EtherNet/IP

Les modules PLC Mitsubishi Electric MELSEC iQ-R et iQ-F sont des dispositifs haute performance largement utilisés dans les systèmes de contrôle industriel (ICS) et les environnements de technologie opérationnelle (OT). Ces modules jouent un rôle fondamental dans l’automatisation de processus industriels complexes au sein de secteurs tels que la production, l’énergie et les infrastructures critiques. Leur capacité de connectivité aux réseaux Ethernet standard en fait un élément crucial des opérations industrielles modernes.

Un attaquant distant et non authentifié peut compromettre intégralement le système de fichiers de ces dispositifs essentiels. L’impact est grave, avec la possibilité de manipuler les processus industriels, de causer des dommages aux équipements, des interruptions de production ou des conditions physiques dangereuses. La vulnérabilité permet à un attaquant de remplacer la logique de contrôle, prenant ainsi effectivement le contrôle du processus automatisé géré par le PLC.

La vulnérabilité dispose d’un exploit public et la CISA a émis un avis (ICSA-23-131-01) soulignant le risque associé. Toute organisation utilisant ces modules avec des services FTP accessibles sur le réseau est exposée à un risque significatif. L’exposition est particulièrement critique dans les environnements dotés de réseaux plats ou d’une segmentation inadéquate entre les zones IT et OT, où une compromission du réseau IT peut être exploitée pour attaquer ces systèmes de contrôle critiques.

ProduitMitsubishi Electric MELSEC
Date05-12-2025 00:29:51

Résumé technique

La vulnérabilité est une CWE-306 : Absence d’authentification pour une fonction critique dans le service FTP des modules Mitsubishi Electric MELSEC EtherNet/IP concernés. L’implémentation du serveur FTP n’impose aucun mécanisme d’authentification, permettant à tout attaquant distant présent sur le réseau de se connecter et d’exécuter des opérations arbitraires sur les fichiers.

Un attaquant peut se connecter au service FTP sur le port par défaut (TCP/21) et obtenir immédiatement un accès privilégié au système de fichiers du dispositif sans avoir à fournir de nom d’utilisateur ou de mot de passe. Cela permet l’utilisation illimitée de commandes FTP telles que PUT (téléversement), GET (téléchargement) et DELE (suppression).

La chaîne d’attaque est simple :

  1. L’attaquant identifie un module MELSEC vulnérable sur le réseau avec le service FTP exposé.
  2. Il se connecte via un client FTP standard.
  3. Le serveur accorde l’accès au système de fichiers sans demande d’identifiants.
  4. L’attaquant peut charger un firmware ou une logique de contrôle malveillants pour écraser les programmes légitimes, exfiltrer des fichiers de projet sensibles ou supprimer des fichiers de configuration critiques pour provoquer une interruption de service (DoS).

Modules concernés :

  • Module MELSEC iQ-R Series EtherNet/IP : RJ71EIP91
  • Module MELSEC iQ-F Series EtherNet/IP : FX5-ENET/IP

Consultez le bulletin de Mitsubishi Electric pour les détails sur les versions de firmware spécifiques. Le fournisseur a publié des mises à jour correctives pour résoudre cette vulnérabilité. Un attaquant peut exploiter cette faille pour obtenir un premier point d’accès dans le réseau OT et potentiellement causer de graves dommages physiques.

Recommandations

  • Appliquer immédiatement les correctifs : Installez les dernières mises à jour de firmware publiées par Mitsubishi Electric pour les modules MELSEC iQ-R RJ71EIP91 et MELSEC iQ-F FX5-ENET/IP. Référez-vous à l’avis CISA ICSA-23-131-01 et à la documentation du fournisseur pour les versions corrigées.
  • Atténuations :
  • Si le service FTP n’est pas essentiel aux opérations, désactivez-le sur le module.
  • Mettez en œuvre une segmentation réseau rigoureuse pour isoler tous les actifs ICS/OT des réseaux d’entreprise (IT) et d’Internet. Les réseaux des systèmes de contrôle ne doivent jamais être directement accessibles depuis Internet.
  • Utilisez un pare-feu et créez des règles ACL explicites pour limiter l’accès au port FTP (TCP/21) des modules exclusivement aux adresses IP autorisées, telles que les stations d’ingénierie.
  • Surveillance et détection :
  • Surveillez le trafic réseau pour détecter les connexions FTP vers les modules MELSEC provenant de sous-réseaux OT non fiables ou non approuvés.
  • Effectuez des audits des journaux de pare-feu et de réseau pour détecter les tentatives d’accès anormales ou non autorisées au port TCP 21 sur les modules PLC critiques.
  • Mettez en œuvre, si possible, des systèmes de surveillance de l’intégrité des fichiers (FIM) et comparez les empreintes (hash) des fichiers actuels avec des sauvegardes connues et vérifiées pour détecter toute modification non autorisée.
  • Réponse aux incidents :
  • En cas de suspicion de compromission, suivez les procédures établies pour isoler le dispositif du réseau et éviter les mouvements latéraux ou d’autres interruptions de processus.
  • Ne coupez pas immédiatement l’alimentation du dispositif. Conservez une image forensique du système de fichiers pour analyse avant de restaurer à partir d’une sauvegarde fiable et vérifiée.
  • Défense en profondeur :
  • Maintenez des sauvegardes régulières et hors ligne de tous les fichiers de projet PLC, logiques et configurations.
  • Appliquez des contrôles de sécurité physique stricts pour toutes les armoires des systèmes de contrôle et les actifs des infrastructures critiques.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *