ISGroup Conseil en Cybersécurité

CVE-2025-54848 : Vulnérabilité de déni de service (DoS) distant non authentifié dans Socomec DIRIS Digiware M-70

Le Socomec DIRIS Digiware M-70 est une passerelle industrielle de surveillance de l’énergie, utilisée dans des secteurs d’infrastructures critiques tels que les centres de données, les sites de fabrication et les installations industrielles. Ces appareils fournissent une visibilité essentielle sur la consommation et la qualité de l’énergie électrique, ce qui est fondamental pour la stabilité opérationnelle et la sécurité. La criticité métier liée à ces appareils est élevée : un dysfonctionnement peut empêcher les opérateurs de détecter des fluctuations ou des coupures d’alimentation potentiellement dommageables.

Cette vulnérabilité représente un risque significatif car elle permet à un attaquant totalement non authentifié présent sur le réseau de rendre l’appareil inutilisable à distance, provoquant une condition de déni de service (DoS). L’attaque est de faible complexité et ne nécessite que des paquets réseau spécifiquement formatés, avec la disponibilité publique d’une preuve de concept (PoC), rendant l’abus hautement probable.

Toute organisation possédant ces appareils connectés à des réseaux non fiables, y compris Internet, est exposée à un risque immédiat. Les conséquences d’une exploitation sont la perte de capacité de surveillance, ce qui peut entraîner des interruptions opérationnelles, des violations d’accords de niveau de service (SLA) et des dommages matériels potentiels dus à des problèmes d’alimentation non détectés. Il s’agit d’un risque critique pour la technologie opérationnelle (OT) qui nécessite une attention immédiate.

ProduitSocomec DIRIS Digiware M-70
Date05/12/2025 00:19:58

Résumé technique

La vulnérabilité est présente dans le service Modbus TCP s’exécutant sur le port TCP 502 de l’appareil Socomec DIRIS Digiware M-70. La cause principale est une erreur de contrôle d’accès lors de la gestion de commandes Modbus spécifiques, qui permet à un utilisateur non authentifié de modifier un paramètre critique de configuration du système.

La chaîne d’attaque est la suivante :

  1. Un attaquant établit une connexion au listener Modbus sur le port TCP 502. Aucune authentification n’est requise.
  2. L’attaquant envoie une séquence spécifique de trois messages ‘Write Single Register’ (code fonction 6).
  3. Ces messages sont dirigés vers le registre qui contrôle l’adresse Modbus de l’appareil lui-même. Le firmware de l’appareil ne vérifie pas que cette modification sensible de la configuration provient d’une source autorisée.
  4. Après avoir accepté la modification, l’appareil entre dans un état instable, cesse de répondre à toute communication réseau et interrompt ses fonctions de surveillance. Un cycle d’alimentation manuel est nécessaire pour rétablir le fonctionnement.

Un attaquant distant non authentifié peut exploiter cette vulnérabilité pour provoquer un état persistant de déni de service, désactivant de fait les fonctionnalités de surveillance de l’énergie de l’infrastructure cible.

Versions concernées :

  • Socomec DIRIS Digiware M-70, version de firmware 1.6.9 et potentiellement les versions antérieures.

Aucune version de firmware corrigée n’a été spécifiée dans l’avis initial. Les utilisateurs doivent consulter le fournisseur pour obtenir les mises à jour de sécurité les plus récentes.

Recommandations

  • Appliquer les correctifs immédiatement : Consultez les avis de sécurité du fabricant Socomec pour obtenir les dernières informations sur les correctifs et mettez à jour dès qu’une version corrigée du firmware est disponible.
  • Atténuations :
    • Critique : Limitez l’accès réseau au service Modbus sur le port TCP 502. L’accès ne doit être autorisé qu’aux hôtes de confiance au sein de réseaux OT ou de gestion dédiés.
    • Vérifiez que l’appareil n’est pas exposé à Internet. Utilisez des pare-feu ou des listes de contrôle d’accès (ACL) pour bloquer tout trafic entrant sur le port 502 provenant de réseaux externes.
    • Mettez en œuvre une segmentation réseau adéquate pour isoler les systèmes de contrôle industriel (ICS) et les réseaux OT des réseaux informatiques d’entreprise.

  • Surveillance et chasse aux menaces :

    • Surveillez les journaux de pare-feu et de réseau pour détecter les tentatives de connexion au port TCP 502 depuis des adresses IP non fiables ou inattendues.
    • Analysez le trafic réseau à la recherche de modèles inhabituels de commandes Modbus code fonction 6 (‘Write Single Register’), en particulier des requêtes séquentielles multiples provenant d’une source unique dirigées vers les appareils concernés.
    • Configurez des alertes pour détecter lorsqu’un appareil DIRIS Digiware M-70 passe hors ligne de manière inattendue ou cesse de répondre aux interrogations (polling).

  • Réponse aux incidents :

    • En cas de dysfonctionnement de l’appareil, isolez-le immédiatement du réseau pour empêcher toute interaction supplémentaire de la part de l’attaquant.
    • Effectuez un cycle d’alimentation manuel pour restaurer son état opérationnel.
    • Conservez les journaux réseau et analysez-les pour identifier l’adresse IP source ayant envoyé les paquets Modbus malveillants. Mettez en œuvre des règles de blocage pour la source identifiée.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *