ISGroup Conseil en Cybersécurité

CVE-2025-54848 : Vulnérabilité de déni de service sur Modbus TCP dans Socomec DIRIS Digiware M-70

Le Socomec DIRIS Digiware M-70 est un composant fondamental pour les infrastructures critiques, utilisé pour la surveillance et la mesure avancées de l’énergie dans les environnements industriels, les centres de données et les installations commerciales. Il fonctionne comme une passerelle centrale agrégeant les données provenant de multiples modules de mesure pour fournir une vision en temps réel de la qualité et de la consommation d’énergie. Son bon fonctionnement est essentiel pour la visibilité de l’OT (technologie opérationnelle), la maintenance préventive et la gestion de l’efficacité énergétique.

Une condition de déni de service complet peut être déclenchée par un attaquant distant non authentifié. Cette vulnérabilité est particulièrement grave car elle ne nécessite aucune interaction de l’utilisateur ni accès préalable. Le risque principal concerne toute passerelle DIRIS Digiware M-70 dont le port Modbus TCP (502) est exposé à des réseaux non fiables. Bien qu’il n’y ait actuellement aucun signalement confirmé d’exploitation active, il existe un mode d’exploitation public et simple, augmentant la probabilité que des acteurs malveillants puissent le cibler à l’avenir pour compromettre le fonctionnement d’infrastructures critiques.

ProduitSocomec DIRIS Digiware M-70
Date05/12/2025 12:34:46

Résumé technique

La vulnérabilité est causée par un contrôle inadéquat des accès sur les registres de configuration du système accessibles via le protocole Modbus TCP. Un attaquant non authentifié peut exploiter la commande ‘Write Single Register’ (code de fonction 6) pour modifier des zones de mémoire spécifiques qui régulent l’état opérationnel de l’appareil, le forçant finalement dans un mode non fonctionnel qui persiste jusqu’à un redémarrage manuel.

La chaîne d’attaque se déroule comme suit :

  1. L’attaquant établit une connexion réseau avec l’appareil cible sur le port TCP 502.
  2. L’attaquant envoie un paquet Modbus spécialement conçu avec le code de fonction 6 pour écrire une valeur spécifique dans le registre 58112.
  3. Une deuxième opération d’écriture malveillante est effectuée sur le registre 29440.
  4. Une opération finale d’écriture sur le registre 57856 applique les modifications de configuration malveillantes, déclenchant la condition de déni de service.

L’appareil interrompt immédiatement ses opérations normales, y compris l’acquisition de données et la communication, devenant de fait non réactif. Il est recommandé aux organisations de consulter Socomec pour obtenir des indications sur les versions de firmware vulnérables et celles mises à jour.

Recommandations

  • Appliquer les correctifs immédiatement : Contactez le fournisseur, Socomec, pour obtenir et installer les dernières mises à jour de firmware sur tous les appareils DIRIS Digiware M-70.
  • Atténuations :
    • Mettre en œuvre une segmentation réseau rigoureuse pour isoler la passerelle M-70 et les autres appareils OT du réseau informatique de l’entreprise et d’Internet.
    • Utiliser un pare-feu pour limiter l’accès au port TCP 502 exclusivement aux adresses IP approuvées et aux stations de travail d’ingénierie autorisées ou aux systèmes SCADA. Refuser tout le trafic par défaut.

  • Chasse & Surveillance :

    • Surveiller le trafic réseau pour détecter tout système externe ou interne non autorisé tentant de communiquer avec le DIRIS Digiware M-70 sur le port TCP 502.
    • Créer des règles de détection dans le système SIEM ou la solution de surveillance réseau pour générer des alertes sur la séquence rapide de requêtes Modbus ‘Write Single Register’ (code de fonction 6) dirigées vers les registres 58112, 29440 et 57856.

  • Gestion des incidents :

    • Si un appareil devient non réactif, mettre immédiatement en œuvre des règles de pare-feu pour bloquer l’adresse IP source de l’attaque suspectée.
    • Isoler l’appareil touché du réseau pour prévenir tout mouvement latéral ou impact supplémentaire.
    • Effectuer un cycle d’alimentation manuel pour restaurer l’état opérationnel de l’appareil et appliquer les correctifs avant de le reconnecter au réseau.

  • Défense en profondeur :

    • Effectuer régulièrement des audits des règles de pare-feu et des contrôles d’accès réseau pour l’infrastructure OT critique.
    • S’assurer que des procédures de sauvegarde et de restauration sont en place pour les systèmes de surveillance critiques.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *