Les outils de configuration Mitsubishi Electric EtherNet/IP sont des utilitaires logiciels utilisés par les ingénieurs dans les environnements de technologie opérationnelle (OT) pour configurer et gérer les composants des systèmes de contrôle industriel (ICS), en particulier les modules des séries MELSEC iQ-R et iQ-F. Ces modules sont essentiels à l’automatisation des processus industriels dans les secteurs de la fabrication, de l’énergie et d’autres infrastructures critiques.

Le risque principal de la CVE-2023-2062 est l’exposition d’identifiants sensibles sur le réseau. Un attaquant non authentifié ayant déjà obtenu un point d’entrée sur le réseau OT peut intercepter passivement les mots de passe FTP transmis en clair par le logiciel de configuration vulnérable. Cela permet à l’attaquant de contourner les mécanismes d’authentification et d’obtenir un accès direct non autorisé aux modules industriels.

Bien qu’il n’existe aucune preuve d’exploitation active dans des environnements réels, un exploit de preuve de concept public est disponible, ce qui augmente la probabilité d’attaques futures. La vulnérabilité affecte les systèmes où le trafic réseau peut être surveillé, rendant particulièrement vulnérables les environnements dotés de réseaux plats et non segmentés ou de stations de travail d’ingénierie compromises. Une exploitation réussie pourrait conduire au vol de fichiers de configuration sensibles, au chargement de logique malveillante ou au sabotage complet des processus industriels physiques.

Produit	Mitsubishi Electric EtherNet/IP Configuration Tool
Date	2025-12-05 00:12:52

Résumé technique

La cause principale de cette vulnérabilité est la CWE-319 : Transmission en clair d’informations sensibles. Les outils de configuration EtherNet/IP concernés, SW1DNN-EIPCT-BD et SW1DNN-EIPCTFX5-BD, transmettent les identifiants FTP aux modules MELSEC sans aucune forme de chiffrement.

La séquence de l’attaque est la suivante :

1. Un opérateur utilise l’outil de configuration vulnérable pour se connecter à un module EtherNet/IP MELSEC série iQ-R ou iQ-F.
2. Pendant la phase de connexion, l’outil s’authentifie auprès du service FTP du module.
3. Le mot de passe FTP est envoyé dans un champ en clair à l’intérieur du paquet réseau.
4. Un attaquant positionné sur le même segment du réseau local peut utiliser un outil de sniffing (par ex. Wireshark) pour capturer ce trafic et extraire le mot de passe.
5. Avec le mot de passe obtenu, l’attaquant peut ensuite s’authentifier de manière autonome sur le serveur FTP du module, obtenant un accès en lecture et écriture non autorisé au système de fichiers de l’appareil.

L’exemple conceptuel suivant illustre le flux de données non sécurisé :

// Logique vulnérable (Conceptuelle)
func connectToModule(ip, user, password) {
  // Le mot de passe est envoyé sur un canal non chiffré (FTP)
  ftp_connection = ftp.connect(ip, user, password)
  return ftp_connection
}

Un attaquant peut exploiter cet accès pour télécharger, modifier ou charger des configurations de l’appareil, altérant potentiellement le processus physique géré par le contrôleur. Toutes les versions du logiciel concerné sont considérées comme vulnérables ; les utilisateurs doivent mettre à jour vers la version la plus récente fournie par le fabricant.

Recommandations

• Appliquer immédiatement le correctif : Mettre à jour toutes les instances de SW1DNN-EIPCT-BD et SW1DNN-EIPCTFX5-BD vers les versions les plus récentes disponibles chez Mitsubishi Electric.

• Atténuations :

  • Mettre en œuvre une segmentation réseau stricte pour isoler les systèmes de contrôle industriel des réseaux d’entreprise (IT). Appliquer le principe du moindre privilège, en s’assurant que seules les stations d’ingénierie autorisées peuvent communiquer avec les modules MELSEC.
  • Utiliser des pare-feux et des listes de contrôle d’accès (ACL) pour limiter l’accès FTP (généralement le port TCP 21) aux modules depuis des adresses IP non autorisées.
  • Réduire au minimum l’utilisation de protocoles en clair et non chiffrés comme FTP sur le réseau OT.

• Chasse et surveillance :

  • Surveiller activement le trafic réseau pour détecter toute tentative d’authentification FTP en clair vers les modules MELSEC. Les outils de surveillance de la sécurité réseau peuvent être configurés pour signaler les commandes FTP USER et PASS.
  • Vérifier les journaux sur les modules (si disponibles) et sur les serveurs syslog centraux pour détecter des connexions FTP provenant d’adresses IP inattendues ou non autorisées.
  • Contrôler les volumes inhabituels de téléchargement ou d’envoi de fichiers depuis les modules industriels.

• Réponse aux incidents :

  • En cas de suspicion de compromission, isoler immédiatement les modules concernés du réseau pour empêcher tout mouvement latéral ou activité malveillante supplémentaire.
  • Forcer un changement de mot de passe sur tous les modules MELSEC après avoir vérifié que l’outil de configuration a été mis à jour.
  • Effectuer un contrôle d’intégrité des configurations des appareils en les comparant avec la dernière sauvegarde connue comme valide.

• Défense en profondeur :

  • Maintenir un inventaire complet et à jour de tous les actifs OT et de leur accessibilité réseau.
  • S’assurer que des sauvegardes régulières et validées des configurations de tous les appareils ICS sont disponibles pour toute restauration éventuelle.

[Callforaction-THREAT-Footer]