Se han revelado varias vulnerabilidades de seguridad sin parches en los controladores lógicos programables (PLC) de seguridad de Mitsubishi que podrían ser aprovechadas por un adversario para adquirir nombres de usuario legítimos registrados en el módulo a través de un ataque de fuerza bruta, iniciar sesión sin autorización en el módulo de la CPU e incluso provocar una condición de denegación de servicio (DoS).

Las debilidades de seguridad, reveladas por Nozomi Networks, se refieren a la implementación de un mecanismo de autenticación en el protocolo de comunicación MELSEC que se utiliza para comunicarse e intercambiar datos con los dispositivos de destino al leer y escribir datos en el módulo de la CPU.

A continuación se incluye un breve resumen de los defectos:

• Nombre de usuario Fuerza bruta (CVE-2021-20594, puntuación CVSS: 5,9) – Los nombres de usuario utilizados durante la autenticación son efectivamente de fuerza bruta
• La funcionalidad de fuerza bruta anti-contraseña conduce a un mecanismo de bloqueo de cuenta demasiado restrictivo (CVE-2021-20598, puntaje CVSS: 3.7) – La implementación para frustrar los ataques de fuerza bruta no solo impide que un atacante potencial use una sola dirección IP, sino que también prohíbe que cualquier usuario de cualquier dirección IP inicie sesión durante un cierto período de tiempo, bloqueando efectivamente a los usuarios legítimos.
• Fugas de secretos equivalentes a contraseñas (CVE-2021-20597, puntuación CVSS: 7,4) – Se puede abusar de un secreto derivado de la contraseña de texto claro para autenticarse con el PLC con éxito
• Gestión de tokens de sesión – Transmisión de tokens de sesión en texto claro, que no están vinculados a una dirección IP, lo que permite que un adversario reutilice el mismo token desde una IP diferente después de que se haya generado.

De manera preocupante, algunas de estas fallas pueden unirse como parte de una cadena de explotación, lo que permite que un atacante se autentique con el PLC y manipule la lógica de seguridad, bloquee el acceso de los usuarios al PLC y, lo que es peor, cambie las contraseñas de los usuarios registrados. lo que requiere un apagado físico del controlador para evitar cualquier riesgo adicional.

Los investigadores se abstuvieron de compartir detalles técnicos de las vulnerabilidades o el código de prueba de concepto (PoC) que se desarrolló para demostrar los ataques debido a la posibilidad de que hacerlo pudiera conducir a más abusos. Si bien se espera que Mitsubishi Electric lance una versión fija del firmware en un «futuro cercano», ha publicado una serie de mitigaciones que tienen como objetivo proteger los entornos operativos y evitar un posible ataque.

Al afirmar que actualmente está investigando la vulnerabilidad de omisión de autenticación relacionada con la forma en que se administran las sesiones, la compañía recomienda una combinación de medidas de mitigación para minimizar el riesgo de una posible explotación, incluido el uso de un firewall para evitar el acceso no autorizado a través de Internet, un filtro de IP para restringir el acceso Direcciones IP, y cambio de contraseñas vía USB.

«Es probable que los tipos de problemas que descubrimos afecten la autenticación de los protocolos OT de más de un solo proveedor, y queremos ayudar a proteger tantos sistemas como sea posible», señalaron los investigadores. «Nuestra preocupación general es que los propietarios de activos puedan confiar demasiado en la seguridad de los esquemas de autenticación integrados en los protocolos OT, sin conocer los detalles técnicos y los modelos de falla de estas implementaciones».