Le Socomec DIRIS Digiware M-70 est une passerelle de surveillance de l’énergie électrique utilisée dans des environnements à haute criticité, notamment les centres de données, les installations industrielles et les bâtiments commerciaux. Sa fonction principale est de fournir une visibilité en temps réel sur les systèmes électriques, permettant la gestion de l’énergie, la surveillance opérationnelle et la détection des pannes. L’importance de ce dispositif est élevée dans les environnements où il est essentiel de garantir la continuité opérationnelle et une connaissance en temps réel de l’état des systèmes électriques.

L’impact de la vulnérabilité consiste en un déni de service (DoS) distant et non authentifié. Un attaquant ayant accès au réseau peut interrompre les fonctionnalités de surveillance de la passerelle, rendant de fait les opérateurs aveugles quant à l’état de leur infrastructure électrique. Cela peut entraver la réponse aux incidents, masquer des problèmes de qualité de l’alimentation et interférer avec les programmes d’efficacité énergétique.

Actuellement, cette vulnérabilité n’est pas répertoriée dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA et il n’existe aucun signalement public d’exploitation active. Cependant, l’attaque est considérée comme simple à exécuter pour un adversaire ayant obtenu l’accès au réseau de technologie opérationnelle (OT) sur lequel le dispositif est placé. Les passerelles M-70 exposées à Internet ou mal segmentées sont particulièrement à risque.

Produit	Socomec DIRIS Digiware M-70
Date	2025-12-05 00:15:11

Résumé technique

La cause principale de la vulnérabilité est une CWE-120 : Copie de tampon sans vérification de la taille de l’entrée (‘Dépassement de tampon classique’) au sein du micrologiciel (firmware) du dispositif lors de l’analyse des paquets Modbus TCP. Le service à l’écoute sur le port Modbus (généralement TCP/502) ne vérifie pas correctement la taille des données fournies par l’utilisateur avant de les copier dans un tampon à longueur fixe alloué dans la pile (stack).

La chaîne d’attaque est la suivante :

1. Un attaquant non authentifié établit une connexion réseau avec le service Modbus TCP sur la passerelle Socomec DIRIS Digiware M-70.
2. L’attaquant envoie une séquence de paquets spécialement conçue contenant une valeur supérieure à la taille prévue par le tampon du service.
3. Le service tente de traiter cette requête malformée, provoquant une condition de dépassement de tampon (buffer overflow).
4. Cette corruption de la mémoire écrase les zones adjacentes, entraînant le plantage immédiat du service Modbus TCP et rendant le dispositif non réactif aux demandes de surveillance ultérieures.

Un attaquant peut exploiter à plusieurs reprises cette vulnérabilité pour créer une condition persistante de déni de service, empêchant les opérateurs de surveiller les systèmes électriques. Le seul moyen de rétablir la fonctionnalité est d’effectuer un cycle d’alimentation manuel du dispositif. La vulnérabilité concerne le modèle Socomec DIRIS Digiware M-70 ; les utilisateurs doivent consulter le fournisseur pour obtenir des informations spécifiques sur les versions de micrologiciel concernées et la disponibilité des correctifs.

Recommandations

• Appliquer immédiatement les correctifs : Contactez Socomec pour obtenir les dernières mises à jour du micrologiciel pour le DIRIS Digiware M-70 et appliquez-les dès que possible.
• Atténuations : Mettez en œuvre une segmentation rigoureuse du réseau pour vous assurer que le dispositif n’est pas exposé à Internet. Limitez l’accès au port Modbus TCP (502) à un ensemble restreint d’adresses IP fiables sur un réseau de gestion ou OT dédié.
• Activités de surveillance : Surveillez les journaux (logs) du pare-feu et du réseau pour détecter les tentatives de connexion non autorisées au port Modbus TCP sur les dispositifs DIRIS Digiware. Enquêtez sur tout dispositif qui se déconnecte à plusieurs reprises ou devient non réactif, car cela pourrait être un signe de compromission ou de tentative d’exploitation.
• Réponse aux incidents : Si vous suspectez qu’un dispositif a été compromis ou s’il devient non réactif, isolez-le immédiatement du réseau pour éviter les mouvements latéraux. Si possible, conservez les journaux et l’état du dispositif pour une analyse forensique avant de redémarrer le système.
• Défense en profondeur : Assurez-vous que tous les systèmes ICS (Industrial Control Systems) et les dispositifs OT sont placés sur des réseaux correctement segmentés, protégés par des pare-feux et ne faisant pas partie du réseau informatique (IT) général de l’entreprise. Mettez en œuvre des listes de contrôle d’accès (ACL) pour appliquer le principe du moindre privilège sur toutes les communications réseau.

[Callforaction-THREAT-Footer]