De multiples vulnérabilités de sécurité non corrigées ont été divulguées dans les contrôleurs logiques programmables (PLC) de sécurité Mitsubishi qui pourraient être exploitées par un adversaire pour acquérir des noms d’utilisateur légitimes enregistrés dans le module via une attaque par force brute, une connexion non autorisée au module CPU, et même provoquer un condition de déni de service (DoS).

Les faiblesses de sécurité, révélées par Réseaux Nozomi, concernent la mise en place d’un mécanisme d’authentification dans le Protocole de communication MELSEC qui est utilisé pour échanger des données avec les appareils cibles qui est utilisé pour la communication avec les appareils cibles en lisant et en écrivant des données sur le module CPU.

Un résumé rapide des défauts est répertorié ci-dessous –

• Nom d’utilisateur Brute-force (CVE-2021-20594, score CVSS : 5,9) – Les noms d’utilisateur utilisés lors de l’authentification sont effectivement brute-force
• La fonctionnalité anti-mot de passe Brute-force conduit à un mécanisme de verrouillage de compte trop restrictif (CVE-2021-20598, score CVSS : 3,7) – La mise en œuvre pour contrecarrer les attaques par force brute empêche non seulement un attaquant potentiel d’utiliser une seule adresse IP, mais elle interdit également à tout utilisateur de n’importe quelle adresse IP de se connecter pendant une certaine période, verrouillant ainsi efficacement les utilisateurs légitimes.
• Fuites de secrets équivalents de mot de passe (CVE-2021-20597, score CVSS : 7,4) – Un secret dérivé du mot de passe en clair peut être abusé pour s’authentifier avec l’automate avec succès
• Gestion des jetons de session – Transmission en clair de jetons de session, qui ne sont pas liés à une adresse IP, permettant ainsi à un adversaire de réutiliser le même jeton d’une autre IP après sa génération

De manière troublante, certaines de ces failles peuvent être liées entre elles dans le cadre d’une chaîne d’exploitation, permettant à un attaquant de s’authentifier auprès de l’automate et d’altérer la logique de sécurité, de verrouiller les utilisateurs hors de l’automate et, pire encore, de modifier les mots de passe des utilisateurs enregistrés, nécessitant un arrêt physique du contrôleur pour éviter tout risque supplémentaire.

Les chercheurs se sont abstenus de partager les spécificités techniques des vulnérabilités ou le code de preuve de concept (PoC) qui a été développé pour démontrer les attaques en raison de la possibilité que cela pourrait conduire à de nouveaux abus. Alors que Mitsubishi Electric devrait publier une version fixe du micrologiciel dans un « avenir proche », il a publié un série d’atténuations qui visent à protéger les environnements opérationnels et à conjurer une éventuelle attaque.

Dans l’intervalle, la société recommande une combinaison de mesures d’atténuation pour minimiser le risque d’exploitation potentielle, notamment l’utilisation d’un pare-feu pour empêcher les accès non autorisés sur Internet, un filtre IP pour restreindre les adresses IP accessibles et la modification des mots de passe via USB.

« Il est probable que les types de problèmes que nous avons découverts affectent l’authentification des protocoles OT de plus d’un seul fournisseur, et nous voulons aider à protéger autant de systèmes que possible », ont noté les chercheurs. « Notre préoccupation générale est que les propriétaires d’actifs pourraient être trop dépendants de la sécurité des schémas d’authentification boulonnés sur les protocoles OT, sans connaître les détails techniques et les modèles de défaillance de ces implémentations. »