ISGroup Conseil en Cybersécurité

CVE-2025-55221 : Vulnérabilité de déni de service (DoS) non authentifiée dans Socomec DIRIS Digiware M-70

Le Socomec DIRIS Digiware M-70 est un compteur de puissance industriel utilisé pour surveiller les installations électriques au sein d’infrastructures critiques telles que les centres de données, les sites de production et les bâtiments commerciaux. Ces appareils sont essentiels pour maintenir la visibilité opérationnelle sur la qualité de l’alimentation, la consommation énergétique et l’état de santé global du système, influençant directement la disponibilité et l’efficacité énergétique.

Un attaquant non authentifié peut déclencher à distance une condition de déni de service, rendant l’appareil non réactif et interrompant toutes les fonctions de surveillance. Cela crée un grave angle mort opérationnel, dissimulant potentiellement des défaillances électriques sous-jacentes ou des problèmes de sécurité qui pourraient entraîner des interruptions de service prolongées, des dommages aux équipements ou une gestion énergétique inefficace.

Bien que la CVE-2025-55221 ne soit pas répertoriée dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA, une preuve de concept (proof-of-concept) publique est disponible. La faible complexité de l’attaque, combinée à la fonction critique de ces appareils, représente un risque significatif. Tout appareil DIRIS Digiware M-70 dont le port Modbus TCP (502/TCP) est exposé à des réseaux non fiables est considéré comme hautement vulnérable.

ProduitDIRIS Digiware M-70
Date05/12/2025 00:37:42

Résumé technique

La vulnérabilité est causée par une gestion inappropriée des paquets malformés au sein du service Modbus TCP s’exécutant sur le port 502. La pile réseau de l’appareil ne parvient pas à valider ou à assainir correctement les requêtes entrantes, provoquant une condition de déni de service lorsqu’un paquet spécialement conçu est traité. Cela génère très probablement une exception non gérée ou un épuisement des ressources qui provoque le plantage du processus principal ou le bloque dans une boucle infinie.

L’attaque se déroule comme suit :

  1. Un attaquant non authentifié établit une connexion TCP vers le port 502 sur un appareil Socomec DIRIS Digiware M-70 vulnérable.
  2. L’attaquant envoie un paquet Modbus TCP spécialement conçu qui s’écarte de la structure attendue du protocole.
  3. Le firmware de l’appareil tente d’analyser ce paquet anormal, déclenchant une condition d’erreur dont il ne parvient pas à récupérer.
  4. L’appareil devient totalement non réactif à toute autre requête réseau, et ses capacités de surveillance de l’alimentation cessent jusqu’à ce qu’il soit redémarré manuellement.

Versions concernées :

  • Socomec DIRIS Digiware M-70, firmware version 1.6.9 et probablement les versions antérieures.

Un correctif a été publié par le fournisseur. Les utilisateurs doivent consulter les avis officiels du fabricant pour identifier la version de firmware appropriée. Un attaquant n’a pas besoin d’authentification et nécessite uniquement un accès réseau au port Modbus TCP pour exécuter l’attaque et compromettre les opérations critiques de surveillance énergétique.

Recommandations

  • Appliquer les correctifs immédiatement : Les organisations doivent identifier immédiatement tous les appareils Socomec DIRIS Digiware M-70 vulnérables et les mettre à jour vers la dernière version stable du firmware fournie par le fabricant.
  • Atténuations :
    • Limiter l’accès réseau au service Modbus TCP sur le port 502. Utiliser des règles de pare-feu strictes pour garantir que seules les stations de gestion fiables et les systèmes de contrôle industriel autorisés puissent communiquer avec l’appareil.
    • Si possible, mettre en œuvre une segmentation réseau pour isoler les systèmes ICS (Industrial Control Systems) et OT (Operational Technology) des réseaux d’entreprise IT et d’Internet.

  • Recherche et surveillance :

    • Surveiller le trafic réseau à la recherche de paquets Modbus TCP inhabituels ou malformés destinés au port 502.
    • Configurer les systèmes de surveillance réseau et les journaux des appareils pour générer des alertes en cas de redémarrages imprévus ou de périodes d’inactivité des appareils DIRIS Digiware M-70.
    • Analyser les journaux des pare-feu et des systèmes IDS/IPS pour détecter des activités de scan ou des tentatives de connexion au port 502 depuis des adresses IP non fiables.

  • Réponse aux incidents :

    • En cas de suspicion de compromission ou si un appareil devient non réactif, l’isoler immédiatement du réseau pour prévenir toute interruption supplémentaire.
    • Conserver les journaux et les captures réseau au moment de l’incident pour faciliter l’analyse forensique.
    • Effectuer un redémarrage manuel contrôlé de l’appareil pour restaurer la fonctionnalité de surveillance après l’isolement.

  • Défense en profondeur :

    • Maintenir un inventaire complet de tous les appareils OT, y compris leurs versions de firmware, pour identifier rapidement les systèmes vulnérables.
    • Vérifier que les configurations des appareils font l’objet de sauvegardes régulières pour faciliter une restauration rapide.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *