Modulele Ethernet din seria MELSEC iQ-F de la Mitsubishi Electric, utilizate pe scară largă în automatizări industriale, prezintă două vulnerabilități distincte care pot fi exploatate de la distanță pentru a bloca complet comunicațiile. Agenția americană pentru securitate cibernetică (CISA) a emis alerte separate, subliniind riscurile majore pentru infrastructurile critice care depind de aceste echipamente.
Detalii tehnice ale vulnerabilităților
Prima problemă, identificată prin codul CVE-2026-8805, afectează modulul FX5-EIP, un adaptor EtherNet/IP. Atacatorii pot provoca o condiție de denial-of-service (DoS) prin stabilirea rapidă a unui număr foarte mare de conexiuni TCP. Această explozie de conexiuni generează o inconsistență în gestionarea internă a procesului de conectare al modulului, ceea ce duce la accesări necorespunzătoare ale memoriei și blocarea echipamentului.
A doua vulnerabilitate vizează modulul FX5-ENET/IP, interfața Ethernet standard a seriei. Prin trimiterea continuă a unui volum mare de pachete de comunicație către portul Ethernet, procesorul modulului este suprasolicitat. Această încărcare excesivă împiedică mecanismele interne de detecție a anomaliilor să funcționeze corect, rezultând într-o oprire totală a funcției de comunicare. Ambele atacuri sunt relativ ușor de executat și nu necesită autentificare prealabilă.
Impactul asupra infrastructurilor critice
Blo carea comunicațiilor într-un sistem industrial poate avea consecințe grave: linii de producție oprite, procese distribuite dezafectate și incapacitatea de a monitoriza sau controla echipamentele de la distanță. Modulele vizate sunt des întâlnite în fabrici, rețele de distribuție a energiei și alte aplicații care stau la baza infrastructurilor critice. Deși CISA nu a raportat exploatări active la momentul publicării, riscul rămâne înalt deoarece multe astfel de dispozitive sunt expuse direct la internet sau în rețele insuficient segmentate.
Severitatea acestor vulnerabilități este reflectată de scorul CVSS de 7.5, clasificat drept „ridicat”. Ceea ce le face deosebit de periculoase este simplitatea cu care pot fi declanșate – nu este nevoie de acces fizic sau cunoștințe aprofundate, ci doar de capacitatea de a trimite trafic de rețea.
Recomandări și măsuri de protecție
Producătorul a început deja să lanseze actualizări de firmware pentru versiunile afectate (FX5-EIP până la 1.000 și modulul FX5-ENET/IP cu aceleași limitări). Înainte de aplicarea patch-urilor, CISA recomandă implementarea unor măsuri compensatorii: izolarea rețelelor de control față de internet, utilizarea de firewall-uri industriale care limitează conexiunile TCP per client și monitorizarea traficului pentru modele anormale de pachete. De asemenea, administratorii de sisteme ar trebui să dezactiveze orice serviciu nefolosit pe modulele Ethernet și să folosească mecanisme de whitelist pentru adresele IP autorizate.
Este esențial ca organizațiile care utilizează aceste echipamente să verifice imediat versiunea de firmware și să planifice actualizarea, mai ales dacă sunt parte din infrastructuri critice. Neglijarea acestor alerte poate oferi o poartă ușoară pentru atacatori, transformând perturbări temporare în daune economice semnificative.
Ce înseamnă pentru tine
Dacă echipa ta folosește module Mitsubishi MELSEC iQ-F, verifică urgent versiunile de firmware și aplică actualizările disponibile. Într-un peisaj industrial din ce în ce mai conectat, chiar și dispozitivele de nișă pot deveni vectori de atac. Pentru mai multă siguranță, supraveghează permanent traficul de rețea dedicat sistemelor de control și impune politici stricte de segmentare a rețelei. Nu subestima riscul: un simplu flood de pachete poate opri linia de producție și genera costuri de mii de euro pe oră.