Эксперты Positive Technologies Антон Дорфман, Дмитрий Скляров, Владимир Назаров и Илья Рогачев нашли семь уязвимостей в программном обеспечении для промышленных контроллеров компании Mitsubishi Electric. Эксплуатация этих уязвимостей позволяла неавторизованным пользователям получить доступ к ПЛК (программируемые логические контроллеры) MELSEC серий iQ-R/F/L и серверному модулю OPC UA серии MELSEC iQ-R.
Исследователи рассказывают, что инженерное ПО GX Works3 и утилита MX OPC UA Module Configurator-R используются для программирования ПЛК Mitsubishi Electric, настройки их параметров, загрузки проектов, мониторинга, диагностики и отладки. GX Works3 является основным инструментом, с помощью которого создается проект ПЛК для техпроцесса и вносятся все дальнейшие изменения в процессе эксплуатации.
«Контроллеры Mitsubishi Electric используются в водном хозяйстве, для автоматизации инженерных систем зданий, в судоходстве, в производстве продуктов питания и других сферах, — рассказывает Антон Дорфман, ведущий специалист отдела анализа приложений, Positive Technologies. — Основная часть найденных уязвимостей связана с механизмами предотвращения нелегального доступа к программам в проектах в среде GX Works3 и исполнения программ в ПЛК. Если атакующий получит файл проекта ПЛК, то он сможет извлечь из него пароль, авторизоваться на ПЛК и, например, воспользоваться командой остановки контроллера. Подобные атаки могут нарушить технологический процесс, хотя и имеют совершенно другой вектор».
Наиболее опасная уязвимость (CVE-2022-29830) получила оценку 9,1 из 10 по шкале CVSS 3.1. Ее эксплуатация может привести к раскрытию всей информации о проекте. Это может привести к потере конфиденциальности (просмотру), краже или подмене файлов проекта. Подмена файлов проекта может повлечь за собой несанкционированное изменение либо нарушение технологического процесса.
Другая уязвимость, CVE-2022-25164, получила оценку 8,6 из 10 по шкале CVSS 3.1. В случае получения злоумышленником файла с проектом он сможет извлечь из него пароль для подключения к ПЛК.
Эксплуатация пяти оставшихся уязвимостей CVE-2022-29825 (оценка 5,6), CVE-2022-29826 (6,8), CVE-2022-29827 (6,8), CVE-2022-29828 (6,8), CVE-2022-29829 (6,8) может привести к раскрытию чувствительной информации. На ее основе неавторизованный пользователь может получить нелегальный доступ к проектам в GX Works3 и осуществить несанкционированное исполнение программ в ПЛК.
Для минимизации рисков, связанных с этими уязвимостями, пользователям рекомендуется следовать рекомендациям Mitsubishi Electric, опубликованным в уведомлении о безопасности, в том числе, установить последнюю версию инженерного программного обеспечения GX Works3 с исправлениями.
В компании отмечают, что это финальная часть большого исследования безопасности ПЛК Mitsubishi, выполненного экспертами Positive Technologies под руководством Антона Дорфмана. Отчет об уязвимостях был отправлен производителю год назад — в декабре 2021 года. На его основе Mitsubishi Electric весь год закрывает найденные уязвимости (апрель, август), повышая уровень защищенности своих продуктов.