CVE-2023-2063: Vulnerabilità di autenticazione mancante nel modulo EtherNet/IP Mitsubishi Electric MELSEC

Mitsubishi Electric MELSEC iQ-R e iQ-F sono PLC (Programmable Logic Controllers) ampiamente distribuiti nei sistemi di controllo industriale (ICS) e negli ambienti di tecnologia operativa (OT). Questi moduli sono componenti fondamentali nell’automazione delle infrastrutture critiche, come impianti di produzione, reti energetiche e impianti di trattamento delle acque. La loro compromissione può avere conseguenze gravi che vanno oltre la semplice perdita di dati, includendo possibili interruzioni fisiche e incidenti di sicurezza.

Questa vulnerabilità rappresenta un rischio elevato poiché consente a un attaccante remoto non autenticato di ottenere il controllo completo del file system del dispositivo. Sebbene il punteggio CVSS sia 6.3 (Medio), il potenziale di interruzione operativa aumenta il rischio reale. Qualsiasi modulo accessibile in rete con il servizio FTP abilitato è esposto. Un attaccante potrebbe fermare la produzione, manipolare i processi industriali o creare condizioni fisiche pericolose.

Sebbene non ci siano prove di sfruttamento attivo in natura e questa CVE non sia attualmente inclusa nel catalogo delle Vulnerabilità Note Sfruttate (KEV) di CISA, la disponibilità di un exploit pubblico ne aumenta la probabilità di futuri attacchi. Le organizzazioni che utilizzano questi moduli per processi critici dovrebbero implementare misure correttive immediatamente.

Prodotto MELSEC
Data 2025-12-04 12:17:56

Riassunto tecnico

La vulnerabilità è una CWE-306: Autenticazione mancante per funzione critica all’interno del servizio FTP su specifici moduli MELSEC EtherNet/IP. Il servizio non implementa adeguati controlli di autenticazione, permettendo a qualsiasi attaccante remoto sulla rete di connettersi ed eseguire operazioni ad alta privilegiatura sul file system senza fornire credenziali.

La sequenza dell’attacco è semplice:

  1. Un attaccante identifica un modulo MELSEC vulnerabile sulla rete con la porta FTP (TCP/21) esposta.
  2. L’attaccante avvia una connessione FTP utilizzando un client stand-alone.
  3. Il servizio FTP concede immediato e illimitato accesso al file system root del dispositivo.
  4. Utilizzando comandi FTP standard (PUT, GET, DELE), l’attaccante può esfiltrare dati sensibili, sovrascrivere file logici PLC legittimi con codice malevolo o eliminare file di sistema critici per provocare un Denial of Service (DoS).

Modificando la logica del PLC, un attaccante può ottenere esecuzione arbitraria di codice nel contesto del processo industriale, permettendo la manipolazione diretta dell’attrezzatura fisica.

Moduli interessati:

  • Modulo EtherNet/IP MELSEC serie iQ-R RJ71EIP91
  • Modulo EtherNet/IP MELSEC serie iQ-F FX5-ENET/IP

Gli utenti dovrebbero consultare Mitsubishi Electric per informazioni sulle versioni firmware aggiornate.

Raccomandazioni

  • Applicare patch immediatamente: Contattare Mitsubishi Electric per ottenere e installare gli aggiornamenti firmware più recenti per i moduli RJ71EIP91 e FX5-ENET/IP interessati.

  • Mitigazioni:

    • Se la funzionalità FTP non è essenziale per le operazioni, disabilitare immediatamente il servizio FTP sul dispositivo.
    • Implementare una rigorosa segmentazione della rete per isolare le reti dei sistemi di controllo da quelle aziendali (IT) ed esterne.
    • Utilizzare un firewall o liste di controllo accessi (ACL) per limitare l’accesso alla porta FTP (TCP/21) sui moduli, consentendo connessioni solo da workstation di ingegneria o server di gestione esplicitamente autorizzati.

  • Caccia e Monitoraggio:

    • Monitorare i log di rete per eventuali connessioni FTP ai moduli interessati provenienti da indirizzi IP non affidabili o non autorizzati.
    • Implementare il monitoraggio dell’integrità dei file sui dispositivi per rilevare modifiche non autorizzate alla logica PLC o ai file di configurazione.
    • Analizzare i log del dispositivo per eventuali riavvii non spiegati, modifiche della logica o errori che potrebbero indicare una compromissione.

  • Risposta a incidenti:

    • Se si sospetta una compromissione, seguire il piano di risposta a incidenti specifico per l’OT. Isolare i dispositivi compromessi dalla rete per contenere la minaccia ed evitare movimenti laterali.
    • Creare immagini forensi della memoria e del file system del dispositivo per analisi successive.

  • Difesa in profondità:

    • Assicurarsi che vengano mantenuti backup regolari e verificati di tutta la logica PLC e dei file di configurazione.
    • Applicare controlli di accesso forti e autenticazione per tutti gli accessi alla rete e ai dispositivi OT.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In