ISGroup Conseil en Cybersécurité

CVE-2024-49572 : Vulnérabilité de déni de service et de réinitialisation des identifiants dans Socomec DIRIS Digiware M-70 via Modbus TCP

Le Socomec DIRIS Digiware M-70 est une passerelle et un dispositif de surveillance de l’énergie utilisés dans les environnements d’infrastructures critiques tels que les centres de données, les installations industrielles et les bâtiments commerciaux. Sa fonction principale est de centraliser et de gérer les données relatives à l’énergie et à la qualité de la puissance provenant de divers capteurs, ce qui en fait un composant clé pour la continuité opérationnelle et la gestion énergétique.

Le risque principal de cette vulnérabilité est double. Premièrement, un attaquant distant non authentifié peut déclencher une condition de déni de service (DoS), qui interrompt les capacités de surveillance de l’énergie et peut empêcher les opérateurs de détecter des états critiques du système. Deuxièmement, et de manière plus critique, l’exploit réinitialise les identifiants du dispositif aux valeurs d’usine. Cette action crée de fait une porte dérobée persistante, permettant à l’attaquant d’obtenir ultérieurement un accès administratif non autorisé en utilisant des identifiants par défaut bien connus. Ce niveau d’accès pourrait être utilisé pour manipuler les données de surveillance de l’énergie, effectuer des mouvements latéraux vers d’autres systèmes du réseau ou interrompre des processus physiques.

Cette vulnérabilité n’est pas répertoriée dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA, et il n’existe aucun signalement public d’exploitations actives en cours. Cependant, étant donné qu’un exploit public existe et compte tenu de la nature critique des environnements dans lesquels ces dispositifs sont déployés, toute passerelle M-70 exposée à Internet ou mal segmentée présente un risque significatif.

ProduitSocomec DIRIS Digiware M-70
Date2025-12-05 00:33:47

Résumé technique

La vulnérabilité réside dans l’implémentation du service Modbus TCP sur le dispositif Socomec DIRIS Digiware M-70. La cause principale est une gestion inappropriée de paquets réseau spécialement conçus, conduisant à un dépassement de tampon (buffer overflow) ou à une erreur similaire de corruption de la mémoire. Cela relève de la catégorie CWE-20 : Validation inappropriée des entrées.

La chaîne d’attaque se déroule comme suit :

  1. Un attaquant non authentifié envoie un paquet Modbus TCP malformé au port 502 du dispositif cible.
  2. Le service Modbus du dispositif ne valide pas correctement le paquet, déclenchant une exception qui provoque le plantage du service et rend le dispositif non réactif, initiant un état de déni de service (DoS).
  3. Dans le cadre de la gestion des exceptions ou du processus de redémarrage suivant le plantage, la configuration du dispositif est réinitialisée, y compris les identifiants administratifs qui reviennent aux valeurs d’usine documentées.
  4. L’attaquant peut désormais s’authentifier sur le dispositif en utilisant ces identifiants par défaut, obtenant ainsi un contrôle administratif complet.

Un attaquant disposant de ce niveau d’accès peut altérer les configurations du dispositif, manipuler les données de surveillance de l’énergie ou utiliser le dispositif compromis comme point d’entrée pour lancer d’autres attaques contre le réseau OT (Operational Technology) ou le réseau d’entreprise. Les versions spécifiques du firmware concerné doivent être confirmées via le bulletin de sécurité officiel du fournisseur.

Recommandations

  • Correctif immédiat : contacter Socomec pour obtenir la dernière version du firmware pour le DIRIS Digiware M-70 et l’appliquer dès que possible.
  • Atténuations :
    • Mettre en œuvre une segmentation réseau rigoureuse pour isoler les systèmes de contrôle industriel (ICS) et les réseaux OT des réseaux IT d’entreprise et d’Internet.
    • Utiliser un pare-feu pour limiter l’accès au service Modbus TCP (port 502/TCP) uniquement aux hôtes de confiance et aux stations de gestion autorisées.
    • Si un accès distant est requis, utiliser un VPN sécurisé avec authentification multifacteur.

  • Chasse & Surveillance :

    • Surveiller le trafic réseau à la recherche de paquets inhabituels ou malformés dirigés vers le port 502/TCP sur les dispositifs vulnérables.
    • Vérifier les journaux d’authentification pour détecter les accès réussis utilisant des identifiants par défaut. Toute activité de ce type doit être traitée comme une compromission potentielle.
    • Déployer des systèmes de détection d’intrusion réseau (NIDS) avec des signatures capables d’identifier un trafic Modbus TCP anormal.

  • Réponse aux incidents :

    • En cas de suspicion de compromission, isoler immédiatement le dispositif concerné du réseau pour prévenir les mouvements latéraux.
    • Conserver les journaux du dispositif et, si possible, une image forensique avant de restaurer une configuration ou une version de firmware connue comme sécurisée.
    • Présumer une violation du réseau OT et lancer une recherche plus large d’activités malveillantes.

  • Défense en profondeur :

    • Changer immédiatement tous les identifiants par défaut sur les dispositifs ICS lors du déploiement et de la mise en service initiale.
    • Effectuer régulièrement des sauvegardes des configurations des dispositifs pour accélérer la récupération en cas d’événements destructeurs.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *