ISGroup Conseil en Cybersécurité

CVE-2023-2063 : Vulnérabilité d’absence d’authentification dans le module EtherNet/IP de Mitsubishi Electric MELSEC

Les automates programmables industriels (API) Mitsubishi Electric MELSEC iQ-R et iQ-F sont largement déployés dans les systèmes de contrôle industriel (ICS) et les environnements de technologie opérationnelle (OT). Ces modules sont des composants fondamentaux de l’automatisation des infrastructures critiques, telles que les sites de production, les réseaux énergétiques et les stations de traitement des eaux. Leur compromission peut entraîner des conséquences graves dépassant la simple perte de données, incluant des interruptions physiques et des incidents de sécurité.

Cette vulnérabilité représente un risque élevé car elle permet à un attaquant distant non authentifié d’obtenir le contrôle total du système de fichiers de l’appareil. Bien que le score CVSS soit de 6,3 (Moyen), le potentiel d’interruption opérationnelle augmente le risque réel. Tout module accessible sur le réseau avec le service FTP activé est exposé. Un attaquant pourrait arrêter la production, manipuler les processus industriels ou créer des conditions physiques dangereuses.

Bien qu’il n’y ait aucune preuve d’exploitation active dans la nature et que cette CVE ne soit pas actuellement incluse dans le catalogue des vulnérabilités exploitées connues (KEV) de la CISA, la disponibilité d’un exploit public augmente la probabilité d’attaques futures. Les organisations utilisant ces modules pour des processus critiques doivent mettre en œuvre des mesures correctives immédiatement.

ProduitMELSEC
Date04/12/2025 12:17:56

Résumé technique

La vulnérabilité est une CWE-306 : Absence d’authentification pour une fonction critique au sein du service FTP sur des modules MELSEC EtherNet/IP spécifiques. Le service n’implémente pas de contrôles d’authentification adéquats, permettant à tout attaquant distant sur le réseau de se connecter et d’exécuter des opérations à hauts privilèges sur le système de fichiers sans fournir d’identifiants.

La séquence de l’attaque est simple :

  1. Un attaquant identifie un module MELSEC vulnérable sur le réseau avec le port FTP (TCP/21) exposé.
  2. L’attaquant initie une connexion FTP en utilisant un client standard.
  3. Le service FTP accorde un accès immédiat et illimité au système de fichiers racine de l’appareil.
  4. En utilisant des commandes FTP standard (PUT, GET, DELE), l’attaquant peut exfiltrer des données sensibles, écraser des fichiers logiques d’API légitimes avec du code malveillant ou supprimer des fichiers système critiques pour provoquer un déni de service (DoS).

En modifiant la logique de l’API, un attaquant peut obtenir une exécution de code arbitraire dans le contexte du processus industriel, permettant la manipulation directe de l’équipement physique.

Modules concernés :

  • Module EtherNet/IP MELSEC série iQ-R RJ71EIP91
  • Module EtherNet/IP MELSEC série iQ-F FX5-ENET/IP

Les utilisateurs doivent consulter Mitsubishi Electric pour obtenir des informations sur les versions de firmware mises à jour.

Recommandations

  • Appliquer les correctifs immédiatement : Contacter Mitsubishi Electric pour obtenir et installer les mises à jour de firmware les plus récentes pour les modules RJ71EIP91 et FX5-ENET/IP concernés.

  • Atténuations :

    • Si la fonctionnalité FTP n’est pas essentielle aux opérations, désactiver immédiatement le service FTP sur l’appareil.
    • Mettre en œuvre une segmentation réseau rigoureuse pour isoler les réseaux des systèmes de contrôle des réseaux d’entreprise (IT) et externes.
    • Utiliser un pare-feu ou des listes de contrôle d’accès (ACL) pour limiter l’accès au port FTP (TCP/21) sur les modules, en autorisant uniquement les connexions provenant de stations d’ingénierie ou de serveurs de gestion explicitement autorisés.

  • Chasse et surveillance :

    • Surveiller les journaux réseau pour détecter toute connexion FTP vers les modules concernés provenant d’adresses IP non fiables ou non autorisées.
    • Mettre en œuvre une surveillance de l’intégrité des fichiers sur les appareils pour détecter les modifications non autorisées de la logique de l’API ou des fichiers de configuration.
    • Analyser les journaux de l’appareil pour détecter tout redémarrage inexpliqué, modification de logique ou erreur pouvant indiquer une compromission.

  • Réponse aux incidents :

    • En cas de suspicion de compromission, suivre le plan de réponse aux incidents spécifique à l’OT. Isoler les appareils compromis du réseau pour contenir la menace et éviter les mouvements latéraux.
    • Créer des images forensiques de la mémoire et du système de fichiers de l’appareil pour une analyse ultérieure.

  • Défense en profondeur :

    • S’assurer que des sauvegardes régulières et vérifiées de toute la logique de l’API et des fichiers de configuration sont maintenues.
    • Appliquer des contrôles d’accès stricts et une authentification pour tous les accès au réseau et aux appareils OT.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *