ISGroup Conseil en Cybersécurité

CVE-2024-53684 : Vulnérabilité Cross-Site Request Forgery dans Socomec DIRIS Digiware M-70

Le Socomec DIRIS Digiware M-70 est un dispositif modulaire de surveillance et de mesure de l’énergie utilisé dans les environnements industriels et commerciaux pour gérer les performances énergétiques et garantir la qualité du réseau électrique. Ces systèmes sont des composants fondamentaux de la technologie opérationnelle (OT), fournissant des données essentielles pour la gestion des installations, la stabilité du réseau électrique et la sécurité.

La nature à haut risque de cette vulnérabilité découle de la possibilité pour un attaquant d’effectuer des actions non autorisées avec les privilèges d’un utilisateur authentifié. Un attaquant pourrait modifier les configurations du dispositif, interrompre les capacités de surveillance ou masquer les traces d’autres activités malveillantes. Cela compromet l’intégrité et la fiabilité de l’infrastructure de surveillance de l’énergie de l’installation.

Au moment de ce rapport, il n’existe aucune preuve d’exploitation active de la vulnérabilité dans des environnements réels, et elle ne figure pas dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA. Cependant, la disponibilité d’un exploit public augmente la probabilité d’attaques futures. Toute organisation utilisant les modules DIRIS Digiware M-70 concernés devrait considérer cette vulnérabilité comme un risque significatif pour la continuité opérationnelle.

ProduitSocomec DIRIS Digiware M-70
Date2025-12-05 12:23:13

Résumé technique

La vulnérabilité est identifiée comme CWE-352 : Cross-Site Request Forgery (CSRF). La cause principale est l’absence de mécanismes anti-CSRF adéquats dans l’interface web WEBVIEW-M, tels que des jetons uniques pour chaque session. Les requêtes qui modifient l’état de l’application n’incluent pas de jeton utilisateur secret et spécifique, permettant ainsi au serveur web de traiter des requêtes contrefaites indiscernables de celles légitimes.

La chaîne d’attaque se déroule comme suit :

  1. Un attaquant crée une page web malveillante qui intègre une requête contrefaite ciblant une action sensible de l’interface web du Digiware M-70 (ex. une requête POST pour modifier un paramètre).
  2. L’attaquant convainc un utilisateur légitime, authentifié sur le dispositif Digiware M-70, de visiter la page malveillante. Cela se fait généralement via des techniques d’ingénierie sociale, comme un e-mail de phishing.
  3. Une fois la page malveillante visitée, le navigateur de la victime inclut automatiquement son cookie de session actif dans la requête envoyée au dispositif Digiware.
  4. L’interface WEBVIEW-M traite la requête comme légitime car elle est accompagnée d’un cookie de session valide, exécutant l’action souhaitée par l’attaquant avec les privilèges de la victime.

Un attaquant peut exploiter cette vulnérabilité pour modifier des paramètres critiques, supprimer des journaux ou désactiver des alarmes, compromettant substantiellement la fonctionnalité du dispositif.

  • Version concernée : Firmware version 1.6.9
  • Version corrigée : Les utilisateurs doivent consulter le fournisseur, Socomec, pour obtenir des informations sur les versions de firmware mises à jour.

Recommandations

  • Appliquer le correctif immédiatement : Contacter Socomec pour obtenir et installer la mise à jour du firmware la plus récente qui corrige la vulnérabilité.
  • Atténuations :
    • Imposer une politique stricte exigeant que les utilisateurs se déconnectent de l’interface WEBVIEW-M à la fin de chaque session. Cela invalide le cookie de session, rendant les attaques CSRF inefficaces.
    • Mettre en œuvre la segmentation du réseau pour limiter l’accès à l’interface de gestion web du dispositif. Autoriser les connexions uniquement depuis un réseau de gestion dédié ou des adresses IP spécifiques et de confiance.
    • Éduquer les utilisateurs sur les risques de phishing et d’ingénierie sociale pour éviter qu’ils ne visitent des liens malveillants lorsqu’ils sont authentifiés sur des systèmes critiques.

  • Recherche et surveillance :

    • Effectuer régulièrement des audits des configurations et des paramètres d’alarme du dispositif pour détecter des modifications non autorisées ou inattendues.
    • Surveiller les journaux du dispositif pour détecter des modifications survenues à des heures inhabituelles ou correspondant à des activités de navigation non liées.
    • Si disponibles, analyser les journaux d’accès web pour identifier les requêtes vers des points de terminaison sensibles avec des en-têtes Referer anormaux ou manquants, bien que cette méthode ne soit pas infaillible.

  • Réponse aux incidents :

    • En cas de suspicion de compromission, examiner immédiatement tous les paramètres du dispositif pour identifier les modifications non autorisées. Restaurer la configuration du dispositif à partir d’une sauvegarde connue et fiable.
    • Conserver les journaux du dispositif pour des analyses forensiques et enquêter sur tout autre signe de compromission dans le segment réseau.

  • Défense en profondeur :

    • Vérifier que les comptes utilisateurs sur le dispositif respectent le principe du moindre privilège, en garantissant uniquement les autorisations minimales nécessaires pour leurs rôles respectifs.
    • Effectuer régulièrement des sauvegardes des configurations du dispositif pour permettre une restauration rapide en cas d’incident de sécurité.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *