CVE-2023-2060: Vulnerabilità di Password Debole nel Server FTP di Mitsubishi Electric MELSEC

Mitsubishi Electric MELSEC iQ-R e iQ-F sono controllori logici programmabili (PLC) utilizzati a livello globale nei sistemi di controllo industriale (ICS) e negli ambienti di tecnologia operativa (OT). Questi dispositivi sono fondamentali per automatizzare i processi produttivi, controllare i macchinari e gestire le infrastrutture. Una vulnerabilità in un componente così critico rappresenta un rischio significativo per l’integrità operativa e la sicurezza.

Il rischio principale consiste nell’accesso remoto non autorizzato al file system del PLC tramite il server FTP integrato. Questo potrebbe permettere a un attaccante di manipolare la logica del PLC, causando interruzioni della produzione, danni alle apparecchiature o condizioni operative pericolose. Anche se non vi sono segnalazioni pubbliche di sfruttamento attivo e questo CVE non è attualmente elencato nel catalogo KEV (Known Exploited Vulnerabilities) di CISA, il vettore d’attacco (forzatura brutale di credenziali deboli) è banale da eseguire per chi ha accesso di rete al dispositivo.

Qualsiasi organizzazione che utilizzi questi moduli MELSEC EtherNet/IP dovrebbe considerare la vulnerabilità come una questione ad alta priorità. L’esposizione è particolarmente critica negli ambienti con reti piatte in cui i sistemi IT possono comunicare direttamente con gli asset OT o dove l’accesso remoto alla rete OT non è adeguatamente protetto.

Prodotto Mitsubishi Electric MELSEC iQ-R/F Series
Data 2025-12-05 00:26:01

Riassunto tecnico

La causa principale di questa vulnerabilità è la CWE-521: Requisiti di password deboli per la funzione server FTP integrata nei moduli EtherNet/IP interessati. Il firmware non impone regole di complessità, consentendo agli operatori di impostare password semplici e facilmente intuibili, vulnerabili ad attacchi a dizionario o forza bruta.

Un attaccante con accesso di rete alla porta FTP del modulo può tentare sistematicamente di accedere utilizzando un elenco di credenziali comuni o predefinite.

Catena di attacco:

  1. Un attaccante scandaglia la rete e identifica una porta FTP aperta su un modulo EtherNet/IP MELSEC.
  2. L’attaccante lancia un attacco a dizionario o forza bruta contro il meccanismo di autenticazione FTP.
  3. A causa delle politiche deboli sulle password, l’attaccante riesce ad autenticarsi.
  4. Una volta autenticato, l’attaccante dispone di permessi di lettura, scrittura e cancellazione sul file system del PLC. Questo può essere sfruttato per esfiltrare dati di configurazione sensibili, caricare logica malevola o cancellare file critici per causare un denial of service.

Moduli interessati:

  • Modulo EtherNet/IP MELSEC iQ-R Series: Modello RJ71EIP91
  • Modulo EtherNet/IP MELSEC iQ-F Series: Modello FX5-ENET/IP

Non esiste una patch specifica per questa problematica, in quanto è considerata una debolezza di configurazione. Il fornitore consiglia di attuare le migliori pratiche di sicurezza.

Raccomandazioni

  • Applicare immediatamente le mitigazioni del fornitore: Imporre l’uso di password forti, complesse e univoche per il server FTP e tutte le altre interfacce del PLC. Fare riferimento alle linee guida del fornitore per la configurazione delle password.
  • Limitare l’accesso di rete: Se la funzionalità del server FTP non è essenziale per le operazioni, disabilitarla. Se è necessaria, implementare regole firewall restrittive e liste di controllo accessi (ACL) per assicurarsi che solo i sistemi autorizzati possano comunicare con la porta FTP del PLC.
  • Isolare i sistemi di controllo: Implementare la segmentazione di rete per isolare le reti OT critiche dalle reti IT aziendali. Questo impedisce agli attaccanti di spostarsi lateralmente da un sistema IT compromesso a un sistema di controllo sensibile. Utilizzare un’architettura DMZ per ogni trasferimento dati necessario.
  • Caccia e monitoraggio:
    • Monitorare il traffico di rete per rilevare un volume anomalo di tentativi di accesso FTP falliti diretti ai dispositivi PLC. Questo è un indicatore primario di un attacco a forza bruta in corso.
    • Implementare una soluzione di monitoraggio dell’integrità dei file (FIM) o eseguire audit periodici del file system del PLC per individuare modifiche, aggiunte o cancellazioni non autorizzate.
  • Risposta agli incidenti: In caso di sospetto compromesso, isolare immediatamente il modulo interessato dalla rete per contenere la minaccia. Attivare il piano di risposta agli incidenti dell’impianto e preservare i log e i dati forensi per l’indagine.
  • Difesa in profondità: Assicurarsi che le workstation di ingegneria siano protette e che l’uso dei supporti rimovibili sia rigidamente controllato. Mantenere e testare backup offline delle configurazioni e della logica dei PLC noti come affidabili per consentire un rapido ripristino.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In