CVE-2023-2061: Vulnerabilità di Password FTP Hard-coded in Mitsubishi Electric MELSEC iQ-R/iQ-F Series

Mitsubishi Electric MELSEC iQ-R e iQ-F Series sono controllori logici programmabili (PLC) comunemente utilizzati nei sistemi di controllo industriale (ICS) e negli ambienti OT (Operational Technology) per automatizzare i processi produttivi. Questi dispositivi sono fondamentali per le operazioni di fabbrica, la gestione dei macchinari e la continuità della produzione. Una vulnerabilità in un componente tanto critico rappresenta un rischio significativo per le operazioni industriali.

Il rischio principale è rappresentato dalla possibilità per un attaccante remoto non autenticato di ottenere accesso FTP al file system del dispositivo. Questo comprometterebbe l’integrità e la disponibilità del processo industriale controllato dal PLC. Sebbene non siano stati segnalati pubblicamente casi di sfruttamento attivo di questa specifica vulnerabilità, la sua bassa complessità di attacco e la disponibilità pubblica di informazioni di exploit ne fanno una minaccia critica. Tutti i moduli MELSEC accessibili dalla rete sono a rischio, soprattutto in reti piatte dove i sistemi OT e IT non sono adeguatamente segmentati. Un accesso non autorizzato potrebbe causare interruzioni operative, danni alle apparecchiature o condizioni di sicurezza non garantite.

Prodotto Mitsubishi Electric MELSEC
Data 2025-12-04 12:28:03

Riassunto tecnico

La causa principale di questa vulnerabilità è CWE-798: Uso di credenziali hard-coded. Una password statica e non modificabile per il servizio FTP è incorporata direttamente all’interno del firmware dei moduli EtherNet/IP interessati. Questa password è la stessa per tutti i dispositivi vulnerabili.

La sequenza di attacco è diretta:

  1. Un attaccante con accesso alla rete del modulo MELSEC individua la porta FTP aperta (TCP/21).
  2. L’attaccante utilizza la password hard-coded nota pubblicamente per autenticarsi al servizio FTP.
  3. Dopo l’autenticazione riuscita, l’attaccante ottiene accesso in lettura, scrittura ed eliminazione al file system del modulo.

Questo accesso consente a un avversario di scaricare file di configurazione sensibili, caricare firmware modificati o maligni, oppure modificare i parametri operativi con l’intento di interrompere o sabotare il processo industriale gestito dal PLC.

Moduli interessati:

  • MELSEC iQ-R Series EtherNet/IP module RJ71EIP91
  • MELSEC iQ-F Series EtherNet/IP module FX5-ENET/IP

Gli utenti devono consultare le comunicazioni ufficiali del produttore per ottenere informazioni sulle versioni di firmware corrette.

Raccomandazioni

  • Applicare patch immediatamente: Consultare gli avvisi di Mitsubishi Electric per le versioni di firmware corrette per i moduli interessati delle serie MELSEC iQ-R e iQ-F e applicarle il prima possibile, seguendo le procedure di test previste per ambienti OT.
  • Misure di mitigazione:
    • Se la funzionalità FTP non è necessaria, disabilitare il servizio sul modulo.
    • Implementare una segmentazione di rete rigorosa per isolare la rete ICS/OT dalla rete IT aziendale e da Internet.
    • Utilizzare liste di controllo accessi (ACL) su firewall e switch di rete per limitare l’accesso alla porta FTP del modulo (TCP/21) esclusivamente a workstation di ingegneria o server di gestione autorizzati.
  • Attività di rilevamento e monitoraggio:
    • Monitorare i log di rete per eventuali tentativi di connessione FTP ai moduli interessati provenienti da indirizzi IP non autorizzati.
    • Verificare le configurazioni di firewall e switch per assicurarsi che non esistano percorsi non autorizzati verso la rete OT sensibile.
  • Risposta agli incidenti:
    • In caso di sospetta compromissione, isolare immediatamente il modulo interessato dalla rete per prevenire movimenti laterali o ulteriori impatti sul processo industriale.
    • Conservare il dispositivo per un’analisi forense e ripristinare configurazione e firmware da un backup noto e sicuro.
  • Difesa in profondità:
    • Assicurarsi che siano mantenuti backup sicuri, offline, delle configurazioni e del firmware dei PLC.
    • Attuare un programma solido di gestione degli asset per tracciare tutti i dispositivi OT e le relative versioni di firmware, al fine di identificare prontamente i sistemi vulnerabili.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In