Mitsubishi Electric EtherNet/IP Configuration Tools sono utilità software utilizzate dagli ingegneri in ambienti di Tecnologia Operativa (OT) per configurare e gestire componenti dei sistemi di controllo industriale (ICS), in particolare i moduli delle serie MELSEC iQ-R e iQ-F. Questi moduli sono fondamentali per l’automazione dei processi industriali nei settori manifatturiero, energetico e in altre infrastrutture critiche.
Il rischio principale di CVE-2023-2062 è l’esposizione delle credenziali sensibili sulla rete. Un attaccante non autenticato che abbia già ottenuto un punto d’appoggio sulla rete OT può intercettare passivamente le password FTP trasmesse in chiaro dal software di configurazione vulnerabile. Questo consente all’attaccante di bypassare i meccanismi di autenticazione e ottenere accesso diretto non autorizzato ai moduli industriali.
Sebbene non vi siano prove di sfruttamenti attivi in ambienti reali, è disponibile un exploit di prova di concetto pubblico, aumentando la probabilità di attacchi futuri. La vulnerabilità interessa i sistemi in cui il traffico di rete può essere monitorato, rendendo particolarmente vulnerabili gli ambienti con reti piatte e non segmentate o postazioni di lavoro ingegneristiche compromesse. Un exploit riuscito potrebbe portare al furto di file di configurazione sensibili, al caricamento di logica dannosa o al completo sabotaggio dei processi industriali fisici.
| Prodotto | Mitsubishi Electric EtherNet/IP Configuration Tool |
| Data | 2025-12-05 00:12:52 |
Riassunto tecnico
La causa principale di questa vulnerabilità è CWE-319: Trasmissione in chiaro di informazioni sensibili. Gli strumenti di configurazione EtherNet/IP interessati, SW1DNN-EIPCT-BD e SW1DNN-EIPCTFX5-BD, trasmettono le credenziali FTP ai moduli MELSEC senza alcuna forma di crittografia.
La sequenza dell’attacco è la seguente:
- Un operatore utilizza lo strumento di configurazione vulnerabile per connettersi a un modulo EtherNet/IP MELSEC iQ-R o iQ-F series.
- Durante la fase di connessione, lo strumento effettua l’autenticazione con il servizio FTP del modulo.
- La password FTP viene inviata in un campo in chiaro all’interno del pacchetto di rete.
- Un attaccante posizionato nello stesso segmento della rete locale può utilizzare uno strumento di sniffing (ad es. Wireshark) per catturare questo traffico ed estrarre la password.
- Con la password ottenuta, l’attaccante può quindi autenticarsi autonomamente al server FTP del modulo, ottenendo accesso in lettura e scrittura non autorizzato al file system del dispositivo.
Il seguente esempio concettuale illustra il flusso di dati non sicuro:
// Vulnerable Logic (Conceptual)
func connectToModule(ip, user, password) {
// The password is sent over a non-encrypted channel (FTP)
ftp_connection = ftp.connect(ip, user, password)
return ftp_connection
}
Un attaccante può sfruttare questo accesso per scaricare, modificare o caricare configurazioni del dispositivo, alterando potenzialmente il processo fisico gestito dal controllore. Tutte le versioni del software interessato sono considerate vulnerabili; gli utenti dovrebbero aggiornare alla versione più recente fornita dal produttore.
Raccomandazioni
-
Applicare subito la patch: Aggiornare tutte le istanze di SW1DNN-EIPCT-BD e SW1DNN-EIPCTFX5-BD alle versioni più recenti disponibili da Mitsubishi Electric.
-
Mitigazioni:
- Implementare una stretta segmentazione di rete per isolare i sistemi di controllo industriale dalle reti aziendali (IT). Applicare il principio del privilegio minimo, assicurandosi che solo le postazioni ingegneristiche autorizzate possano comunicare con i moduli MELSEC.
- Utilizzare firewall e liste di controllo degli accessi (ACL) per limitare l’accesso FTP (tipicamente porta TCP 21) ai moduli da indirizzi IP non autorizzati.
- Ridurre al minimo l’uso di protocolli in chiaro e non cifrati come FTP sulla rete OT.
-
Caccia e monitoraggio:
- Monitorare attivamente il traffico di rete per eventuali tentativi di autenticazione FTP in chiaro verso i moduli MELSEC. Gli strumenti di monitoraggio della sicurezza di rete possono essere configurati per segnalare i comandi FTP
USERePASS. - Verificare i log sui moduli (se disponibili) e sui server syslog centrali per connessioni FTP provenienti da indirizzi IP inaspettati o non autorizzati.
- Controllare volumi insoliti di download o upload di file dai moduli industriali.
- Monitorare attivamente il traffico di rete per eventuali tentativi di autenticazione FTP in chiaro verso i moduli MELSEC. Gli strumenti di monitoraggio della sicurezza di rete possono essere configurati per segnalare i comandi FTP
-
Risposta agli incidenti:
- Se si sospetta un compromesso, isolare immediatamente i moduli interessati dalla rete per prevenire ulteriori movimenti laterali o attività malevole.
- Forzare un cambio di password su tutti i moduli MELSEC dopo aver verificato che lo strumento di configurazione sia stato aggiornato.
- Eseguire un controllo di integrità delle configurazioni dei dispositivi confrontandole con l’ultimo backup noto come valido.
-
Difesa stratificata:
- Mantenere un inventario completo e aggiornato di tutti gli asset OT e della loro accessibilità di rete.
- Assicurarsi che siano disponibili backup regolari e validati delle configurazioni di tutti i dispositivi ICS per eventuali ripristini.