CVE-2023-2060: Vulnerabilità di Password FTP Debole nei Moduli MELSEC EtherNet/IP di Mitsubishi Electric

Mitsubishi Electric MELSEC iQ-R e iQ-F sono moduli di controllo industriale impiegati in infrastrutture critiche e settori manifatturieri per automatizzare processi complessi. La criticità aziendale di questi dispositivi è estremamente elevata, poiché una loro compromissione può comportare gravi interruzioni operative, fermi di produzione e potenziali rischi per la sicurezza fisica.

Il rischio principale deriva dall’insufficiente politica di gestione delle password del servizio FTP, che consente l’uso di credenziali deboli o facilmente indovinabili. Questo rende i moduli estremamente vulnerabili ad accessi non autorizzati da parte di attaccanti remoti e non autenticati. Anche se non sono stati segnalati casi di sfruttamento attivo di questa vulnerabilità nello scenario attuale, è inclusa all’interno di un avviso ICS (Industrial Control Systems) del CISA, ed è disponibile un exploit pubblico. La bassa complessità richiesta per l’attacco rende ogni dispositivo esposto a internet o non segmentato correttamente un obiettivo prezioso per attacchi opportunistici o mirati. Le organizzazioni che non applicano criteri di password robuste su questi dispositivi sono immediatamente a rischio di compromissione.

Prodotto MELSEC iQ-R/F Series EtherNet/IP
Data 2025-12-04 12:40:00

Riassunto tecnico

La causa principale di questa vulnerabilità è classificata come CWE-521: Weak Password Requirements. Il servizio FTP sui moduli Mitsubishi Electric MELSEC interessati non impone requisiti di complessità, lunghezza o rotazione delle password, permettendo così agli amministratori di impostare credenziali banali o predefinite. Un attaccante può sfruttare questa debolezza senza autenticazione eseguendo attacchi dizionario o brute-force contro il servizio FTP.

La sequenza di attacco si svolge come segue:

  1. Un attaccante individua un servizio FTP esposto (porta TCP 21) su un modulo MELSEC vulnerabile.
  2. L’attaccante avvia un elevato numero di tentativi di accesso utilizzando un elenco di password comuni o predefinite.
  3. A causa dell’assenza di requisiti di complessità per le password e della possibile mancanza di protezione contro il brute-force, l’attaccante riesce eventualmente a indovinare le credenziali corrette.
  4. Dopo aver ottenuto l’autenticazione con successo, l’attaccante acquisisce pieno accesso in lettura, scrittura e cancellazione al file system del modulo tramite protocollo FTP.

Questo accesso consente all’attaccante di manipolare file critici, inclusa la logica del PLC, file di progetto e configurazioni di sistema. Alterare la logica del PLC può modificare direttamente il processo industriale controllato dal dispositivo, portando a danni agli impianti o condizioni operative pericolose.

Moduli interessati:

  • MELSEC iQ-R Series EtherNet/IP module RJ71EIP91
  • MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP

Non è disponibile una patch specifica per questo problema, in quanto si tratta di una debolezza di configurazione. La mitigazione richiede l’adozione di pratiche di configurazione sicura.

Raccomandazioni

  • Applicare modifiche immediate alla configurazione: Questa vulnerabilità si mitiga tramite un’azione dell’utente, non con una patch software. Applicare immediatamente una password forte, complessa e univoca per il servizio FTP su tutti i moduli MELSEC interessati.
  • Segmentazione della rete e controllo degli accessi: Assicurarsi che i moduli interessati non siano esposti a internet. Limitare l’accesso al servizio FTP (porta TCP 21) a una VLAN di gestione dedicata o a un insieme limitato di indirizzi IP autorizzati. Adottare un modello di sicurezza Zero Trust ove possibile.
  • Disabilitare servizi non necessari: Se il servizio FTP non è essenziale per le operazioni, disabilitarlo completamente sul modulo per eliminare questa superficie d’attacco.
  • Hunt & Monitor:
    • Monitorare i registri di rete per individuare un elevato numero di tentativi falliti di login FTP contro i moduli MELSEC, segnale possibile di un attacco brute-force in corso.
    • Controllare i log del firewall per eventuali tentativi di connessione non autorizzati sulla porta TCP 21 verso dispositivi all’interno della rete OT.
    • Implementare sistemi di monitoraggio dell’integrità dei file critici per rilevare modifiche non autorizzate.
  • Gestione degli incidenti:
    • Se si sospetta una compromissione, isolare immediatamente il dispositivo interessato dalla rete per evitare impatti ulteriori.
    • Condurre un’analisi forense per determinare l’estensione dell’intrusione.
    • Ripristinare il dispositivo da un backup integro effettuato prima della compromissione sospetta e impostare una password robusta prima di ricollegarlo alla rete.
  • Difesa in profondità:
    • Eseguire regolarmente audit delle configurazioni di tutti i dispositivi ICS per identificare e correggere password deboli e impostazioni non sicure.
    • Mantenere backup offline di tutta la logica PLC e dei file di configurazione.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In