CVE-2023-2063: Vulnerabilità di manipolazione non autenticata dei file FTP nei moduli Mitsubishi Electric MELSEC EtherNet/IP

Mitsubishi Electric MELSEC iQ-R e iQ-F sono moduli di PLC ad alte prestazioni ampiamente utilizzati nei sistemi di controllo industriale (ICS) e negli ambienti di tecnologia operativa (OT). Questi moduli svolgono un ruolo fondamentale nell’automatizzazione dei processi industriali complessi in settori come la produzione, l’energia e le infrastrutture critiche. La loro funzione di connettività con reti Ethernet standard li rende un elemento cruciale per le operazioni industriali moderne.

Un utente malintenzionato remoto e non autenticato può compromettere completamente il file system di questi dispositivi essenziali. L’impatto è grave, con la possibilità di manipolare i processi industriali, causare danni alle apparecchiature, interruzioni alla produzione o condizioni fisiche pericolose. La vulnerabilità consente a un attaccante di sovrascrivere la logica di controllo, assumendo di fatto il controllo del processo automatizzato gestito dal PLC.

La vulnerabilità dispone di un exploit pubblico e la CISA ha emesso un avviso (ICSA-23-131-01) che ne evidenzia il rischio. Qualsiasi organizzazione che utilizzi questi moduli con servizi FTP accessibili in rete è esposta a un rischio significativo. L’esposizione è particolarmente critica in ambienti con reti piatte o segmentazione inadeguata tra le zone IT e OT, dove una compromissione della rete IT può essere sfruttata per attaccare questi sistemi di controllo critici.

Prodotto Mitsubishi Electric MELSEC
Data 2025-12-05 00:29:51

Riassunto tecnico

La vulnerabilità è una CWE-306: Missing Authentication for Critical Function nel servizio FTP dei moduli Mitsubishi Electric MELSEC EtherNet/IP interessati. L’implementazione del server FTP non impone alcun meccanismo di autenticazione, consentendo a qualsiasi attaccante remoto presente sulla rete di connettersi ed eseguire operazioni arbitrarie sui file.

Un attaccante può collegarsi al servizio FTP sulla porta predefinita (TCP/21) e ottenere immediatamente accesso privilegiato al file system del dispositivo senza dover fornire nome utente o password. Questo consente l’uso illimitato di comandi FTP come PUT (upload), GET (download) e DELE (eliminazione).

La catena di attacco è semplice:

  1. L’attaccante identifica un modulo MELSEC vulnerabile sulla rete con il servizio FTP esposto.
  2. Si connette tramite client FTP standard.
  3. Il server concede accesso al file system senza richiesta di credenziali.
  4. L’attaccante può caricare firmware o logica di controllo malevoli per sovrascrivere i programmi legittimi, esfiltrare file di progetto sensibili o eliminare file di configurazione critici per causare un’interruzione del servizio (DoS).

Moduli interessati:

  • MELSEC iQ-R Series EtherNet/IP module: RJ71EIP91
  • MELSEC iQ-F Series EtherNet/IP module: FX5-ENET/IP

Consultare il bollettino Mitsubishi Electric per i dettagli sulle versioni firmware specifiche. Il fornitore ha rilasciato aggiornamenti firmware correttivi per risolvere questa vulnerabilità. Un attaccante può sfruttare questa falla per ottenere un primo punto d’accesso nella rete OT e potenzialmente causare gravi disagi fisici.

Raccomandazioni

  • Applicare immediatamente le patch: Installare gli ultimi aggiornamenti firmware rilasciati da Mitsubishi Electric per i moduli MELSEC iQ-R RJ71EIP91 e MELSEC iQ-F FX5-ENET/IP. Fare riferimento all’avviso CISA ICSA-23-131-01 e alla documentazione del fornitore per le versioni corrette.
  • Mitigazioni:
  • Se il servizio FTP non è essenziale per le operazioni, disabilitarlo sul modulo.
  • Implementare una rigorosa segmentazione di rete per isolare tutti gli asset ICS/OT dalle reti aziendali (IT) e da Internet. Le reti dei sistemi di controllo non devono mai essere direttamente accessibili da Internet.
  • Utilizzare un firewall e creare regole ACL esplicite per limitare l’accesso alla porta FTP (TCP/21) dei moduli esclusivamente a indirizzi IP autorizzati, come le workstation di ingegneria.
  • Monitoraggio e rilevamento:
  • Monitorare il traffico di rete per connessioni FTP verso i moduli MELSEC provenienti da subnet OT non fidate o non approvate.
  • Eseguire audit dei log di firewall e rete per tentativi di accesso anomali o non autorizzati alla porta TCP 21 su moduli PLC critici.
  • Implementare, se possibile, sistemi di file integrity monitoring e confrontare gli hash dei file attuali con backup noti e verificati per rilevare modifiche non autorizzate.
  • Risposta agli incidenti:
  • In caso di compromissione sospetta, seguire le procedure stabilite per isolare il dispositivo dalla rete ed evitare movimenti laterali o ulteriori interruzioni del processo.
  • Non spegnere immediatamente il dispositivo. Conservare un’immagine forense del file system per l’analisi prima di ripristinare da un backup affidabile e verificato.
  • Difesa in profondità:
  • Mantenere backup regolari e offline di tutti i file di progetto PLC, logiche e configurazioni.
  • Applicare controlli fisici di sicurezza severi per tutti gli armadi dei sistemi di controllo e asset delle infrastrutture critiche.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In