CVE-2023-2061: Vulnerabilità di password FTP codificata nei moduli Mitsubishi Electric MELSEC EtherNet/IP

Mitsubishi Electric MELSEC iQ-R e iQ-F sono moduli Programmable Logic Controller (PLC) ampiamente utilizzati nei sistemi di controllo industriale (ICS) e in ambienti di tecnologia operativa (OT). Questi dispositivi sono componenti fondamentali nei settori della produzione, dell’automazione e delle infrastrutture critiche, e gestiscono processi fisici sensibili e ad alto impatto.

Il rischio principale deriva da una password codificata nel servizio FTP, che consente a un attaccante remoto non autenticato con accesso alla rete di ottenere il controllo completo del file system del dispositivo. Questo consente la possibilità di interrompere o alterare i processi industriali, con potenziali conseguenze quali fermi operativi, danni alle apparecchiature o produzione di articoli fuori specifica.

Sebbene questa vulnerabilità non sia inclusa nel catalogo KEV di CISA, esiste un exploit pubblico, e la semplicità dell’attacco (conoscenza di una password statica) rende altamente probabile una sua riuscita. Qualsiasi organizzazione con moduli MELSEC iQ-R o iQ-F EtherNet/IP accessibili dalla rete è a rischio immediato. L’impatto è amplificato in architetture di rete piatte dove gli ambienti IT e OT non sono adeguatamente segmentati.

Prodotto Mitsubishi Electric MELSEC EtherNet/IP Modules
Data 2025-12-05 00:14:28

Riassunto tecnico

La vulnerabilità è una CWE-798: Uso di credenziali codificate. Una password statica e non configurabile per il servizio FTP è incorporata direttamente nel firmware dei moduli Mitsubishi Electric MELSEC EtherNet/IP interessati. Un attaccante con accesso di rete alla porta FTP del dispositivo può autenticarsi utilizzando questa password nota pubblicamente.

La catena di attacco è semplice:

  1. Un attaccante identifica un modulo MELSEC vulnerabile sulla rete, come RJ71EIP91 o FX5-ENET/IP.
  2. L’attaccante avvia una connessione FTP alla porta FTP aperta del dispositivo (TCP/21).
  3. L’attaccante si autentica utilizzando le credenziali codificate ampiamente disponibili.
  4. Una volta effettuata l’autenticazione, l’attaccante ottiene privilegi completi di lettura, scrittura e cancellazione sul file system del modulo.

Questo accesso consente a un attaccante di scaricare file di progetto sensibili, che possono contenere proprietà intellettuali relative al processo industriale. Più criticamente, un attaccante può caricare logiche di controllo modificate per manipolare operazioni fisiche o cancellare file di sistema critici, causando una condizione di denial-of-service (DoS) che blocca la produzione.

Moduli interessati:

  • Modulo MELSEC iQ-R Series EtherNet/IP: RJ71EIP91
  • Modulo MELSEC iQ-F Series EtherNet/IP: FX5-ENET/IP

Gli utenti devono consultare gli avvisi di Mitsubishi Electric per informazioni sulle versioni del firmware aggiornate.

Raccomandazioni

  • Applicare le patch immediatamente: Installare gli aggiornamenti firmware forniti da Mitsubishi Electric per i moduli interessati il prima possibile.
  • Mitigazioni:
    • Se la funzionalità FTP non è essenziale per l’operatività aziendale, disattivare il server FTP sul modulo.
    • Implementare elenchi di controllo accessi (ACL) rigorosi e regole firewall per assicurare che solo dispositivi e personale autorizzati possano accedere alla porta FTP (TCP/21) sui controller.
    • Ridurre al minimo l’esposizione di tutti i dispositivi del sistema di controllo a reti non affidabili. Quando possibile, isolare le reti OT da quelle IT.
  • Hunting e Monitoraggio:
    • Monitorare attivamente il traffico di rete per connessioni FTP ai moduli MELSEC interessati. Indagare su eventuali connessioni provenienti da indirizzi IP non autorizzati o inattesi.
    • Monitorare l’integrità dei file di progetto dei PLC. Implementare un sistema per calcolare il checksum dei file e segnalare eventuali modifiche non autorizzate.
    • Analizzare i log di audit per pattern di accesso ai file che indichino operazioni di enumerazione o lettura/scrittura/cancellazione non autorizzate.
  • Risposta agli incidenti:
    • In caso di sospetto compromesso, isolare immediatamente i moduli interessati dalla rete per prevenire movimenti laterali o ulteriori interruzioni.
    • Eseguire un’analisi forense per determinare l’estensione del compromesso.
    • Ripristinare il dispositivo a uno stato noto e sicuro utilizzando un’immagine firmware affidabile e un file di progetto proveniente da un backup sicuro.
  • Difesa in profondità:
    • Applicare una segmentazione di rete robusta tra ambienti IT e OT per proteggere i sistemi di controllo critici.
    • Mantenere backup sicuri e offline di tutte le configurazioni e file di progetto PLC critici.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In