Ошибки были обнаружены в GX Works3 и MX OPC UA Module Configurator-R
Эксперты Positive Technologies Антон Дорфман, Дмитрий Скляров, Владимир Назаров и Илья Рогачев выявили семь уязвимостей в программном обеспечении для промышленных контроллеров компании Mitsubishi Electric. Эксплуатация этих уязвимостей позволяла неавторизованным пользователям получить доступ к ПЛК1 MELSEC серий iQ-R/F/L и серверному модулю OPC UA серии MELSEC iQ-R.
Инженерное программное обеспечение GX Works3 и утилита MX OPC UA Module Configurator-R используются для программирования ПЛК Mitsubishi Electric, настройки их параметров, загрузки проектов, мониторинга, диагностики и отладки. GX Works3 является основным инструментом, с помощью которого создается проект ПЛК для техпроцесса и вносятся все дальнейшие изменения в процессе эксплуатации.
«Контроллеры Mitsubishi Electric используются в водном хозяйстве, для автоматизации инженерных систем зданий, в судоходстве, в производстве продуктов питания и других сферах, — прокомментировал Антон Дорфман, ведущий специалист отдела анализа приложений, Positive Technologies. — Основная часть найденных уязвимостей связана с механизмами предотвращения нелегального доступа к программам в проектах в среде GX Works3 и исполнения программ в ПЛК. Если атакующий получит файл проекта ПЛК, то он сможет извлечь из него пароль, авторизоваться на ПЛК и, например, воспользоваться командой остановки контроллера. Как и эксплуатация уязвимостей, которые мы выявили ранее и сообщили о них в апреле и августе, подобные атаки могут нарушить технологический процесс, хотя и имеют совершенно другой вектор».
Самая опасная уязвимость CVE-2022-29830 получила оценку 9,1 из 10 по шкале CVSS 3.1. Ее эксплуатация может привести к раскрытию всей информации о проекте. Это может привести к потере конфиденциальности (просмотру), краже или подмене файлов проекта. Подмена файлов проекта может повлечь за собой несанкционированное изменение либо нарушение технологического процесса.
Уязвимость CVE-2022-25164 получила оценку 8,6 из 10 по шкале CVSS 3.1. В случае получения злоумышленником файла с проектом он сможет извлечь из него пароль для подключения к ПЛК.
Эксплуатация пяти уязвимостей CVE-2022-29825 (оценка 5,6), CVE-2022-29826 (6,8), CVE-2022-29827 (6,8), CVE-2022-29828 (6,8), CVE-2022-29829 (6,8) может привести к раскрытию чувствительной информации. На ее основе неавторизованный пользователь может получить нелегальный доступ к проектам в GX Works3 и осуществить несанкционированное исполнение программ в ПЛК.
Для минимизации рисков, связанных с этими уязвимостями, пользователям необходимо следовать рекомендациям Mitsubishi Electric, опубликованным в уведомлении о безопасности, в том числе установить последнюю версию инженерного программного обеспечения GX Works3 с исправлениями.
Продукты Mitsubishi для промышленной автоматизации используются российскими предприятиями более 20 лет. Mitsubishi входит в топ-3 мировых лидеров на рынке промышленных контроллеров: компания выпустила свыше 17 миллионов компактных ПЛК.
Это финальная часть большого исследования безопасности ПЛК Mitsubishi, выполненного нашими экспертами под руководством Антона Дорфмана. Отчет об уязвимостях был отправлен вендору год назад — в декабре 2021 года. На его основе Mitsubishi Electric планомерно закрывает уязвимости (апрель, август), повышая уровень защищенности своих продуктов. После опубликования вендором информации об уязвимостях Антон Дорфман выступил на конференции HighLoad++ 2022 с докладом об исследовании.
Отметим, что в декабре 2022 года в систему глубокого анализа технологического трафика PT Industrial Security Incident Manager (PT ISIM) была добавлена поддержка протокола MELSOFT и расширена поддержка SLMP. Обновление обеспечивает расширенную поддержку семейства протоколов Mitsubishi Electric и выявление найденных уязвимостей.
- ПЛК — программируемые логические контроллеры.