ISGroup Conseil en Cybersécurité

CVE-2023-2060 : Vulnérabilité de mot de passe FTP faible dans les modules MELSEC EtherNet/IP de Mitsubishi Electric

Les modules de contrôle industriel Mitsubishi Electric MELSEC iQ-R et iQ-F sont utilisés dans les infrastructures critiques et les secteurs manufacturiers pour automatiser des processus complexes. La criticité métier de ces dispositifs est extrêmement élevée, car leur compromission peut entraîner de graves interruptions opérationnelles, des arrêts de production et des risques potentiels pour la sécurité physique.

Le risque principal découle d’une politique de gestion des mots de passe insuffisante pour le service FTP, qui autorise l’utilisation d’identifiants faibles ou facilement devinables. Cela rend les modules extrêmement vulnérables aux accès non autorisés par des attaquants distants et non authentifiés. Bien qu’aucun cas d’exploitation active de cette vulnérabilité n’ait été signalé dans le scénario actuel, elle est incluse dans une alerte ICS (Industrial Control Systems) du CISA, et un exploit public est disponible. La faible complexité requise pour l’attaque fait de chaque appareil exposé à Internet ou mal segmenté une cible de choix pour des attaques opportunistes ou ciblées. Les organisations qui n’appliquent pas de critères de mots de passe robustes sur ces dispositifs sont immédiatement exposées à un risque de compromission.

ProduitMELSEC iQ-R/F Series EtherNet/IP
Date2025-12-04 12:40:00

Résumé technique

La cause principale de cette vulnérabilité est classée comme CWE-521 : Exigences de mot de passe faibles. Le service FTP sur les modules Mitsubishi Electric MELSEC concernés n’impose aucune exigence de complexité, de longueur ou de rotation des mots de passe, permettant ainsi aux administrateurs de définir des identifiants triviaux ou par défaut. Un attaquant peut exploiter cette faiblesse sans authentification en menant des attaques par dictionnaire ou par force brute contre le service FTP.

La séquence d’attaque se déroule comme suit :

  1. Un attaquant identifie un service FTP exposé (port TCP 21) sur un module MELSEC vulnérable.
  2. L’attaquant lance un grand nombre de tentatives de connexion en utilisant une liste de mots de passe courants ou par défaut.
  3. En raison de l’absence d’exigences de complexité pour les mots de passe et de l’éventuel manque de protection contre la force brute, l’attaquant finit par deviner les identifiants corrects.
  4. Après avoir réussi l’authentification, l’attaquant obtient un accès complet en lecture, écriture et suppression au système de fichiers du module via le protocole FTP.

Cet accès permet à l’attaquant de manipuler des fichiers critiques, y compris la logique de l’automate (PLC), les fichiers de projet et les configurations système. Altérer la logique de l’automate peut modifier directement le processus industriel contrôlé par le dispositif, entraînant des dommages aux installations ou des conditions opérationnelles dangereuses.

Modules concernés :

  • Module MELSEC iQ-R Series EtherNet/IP RJ71EIP91
  • Module MELSEC iQ-F Series EtherNet/IP FX5-ENET/IP

Il n’existe pas de correctif spécifique pour ce problème, car il s’agit d’une faiblesse de configuration. La remédiation nécessite l’adoption de pratiques de configuration sécurisée.

Recommandations

  • Appliquer des modifications immédiates à la configuration : Cette vulnérabilité se corrige par une action de l’utilisateur, et non par un correctif logiciel. Appliquez immédiatement un mot de passe fort, complexe et unique pour le service FTP sur tous les modules MELSEC concernés.
  • Segmentation du réseau et contrôle des accès : Assurez-vous que les modules concernés ne sont pas exposés à Internet. Limitez l’accès au service FTP (port TCP 21) à un VLAN de gestion dédié ou à un ensemble restreint d’adresses IP autorisées. Adoptez un modèle de sécurité Zero Trust dans la mesure du possible.
  • Désactiver les services inutiles : Si le service FTP n’est pas essentiel aux opérations, désactivez-le complètement sur le module pour éliminer cette surface d’attaque.
  • Chasse et surveillance (Hunt & Monitor) :
    • Surveillez les journaux réseau pour détecter un nombre élevé de tentatives de connexion FTP infructueuses vers les modules MELSEC, signe possible d’une attaque par force brute en cours.
    • Vérifiez les journaux du pare-feu pour toute tentative de connexion non autorisée sur le port TCP 21 vers des dispositifs au sein du réseau OT.
    • Implémentez des systèmes de surveillance de l’intégrité des fichiers critiques pour détecter les modifications non autorisées.

  • Gestion des incidents :

    • En cas de suspicion de compromission, isolez immédiatement le dispositif concerné du réseau pour éviter tout impact supplémentaire.
    • Menez une analyse forensique pour déterminer l’étendue de l’intrusion.
    • Restaurez le dispositif à partir d’une sauvegarde saine effectuée avant la compromission suspectée et définissez un mot de passe robuste avant de le reconnecter au réseau.

  • Défense en profondeur :

    • Effectuez régulièrement des audits de configuration de tous les dispositifs ICS pour identifier et corriger les mots de passe faibles et les paramètres non sécurisés.
    • Maintenez des sauvegardes hors ligne de toute la logique PLC et des fichiers de configuration.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *