ISGroup Conseil en Cybersécurité

CVE-2025-20085 : Vulnérabilité de déni de service et de réinitialisation des identifiants sans authentification dans Socomec DIRIS Digiware M-70

Le Socomec DIRIS Digiware M-70 est une passerelle de surveillance énergétique utilisée dans des environnements critiques tels que les centres de données, les installations industrielles et les bâtiments commerciaux. Sa fonction principale est de fournir une visibilité en temps réel sur les installations électriques, ce qui en fait un composant clé pour la stabilité opérationnelle et la gestion de l’énergie. Une défaillance ou une compromission de cet appareil peut empêcher les opérateurs de détecter des événements critiques, avec un risque de dommages aux équipements ou d’interruptions généralisées.

Le risque principal est une prise de contrôle complète de l’appareil sans authentification. Un attaquant ayant accès au réseau peut d’abord rendre l’appareil inutilisable, créant une condition de déni de service pouvant masquer des actions ultérieures. La vulnérabilité permet ensuite à l’attaquant de réinitialiser les identifiants administratifs aux valeurs par défaut d’usine, obtenant ainsi un contrôle total. Cela est extrêmement grave dans les réseaux OT (Operational Technology), où l’appareil pourrait être utilisé comme point d’ancrage pour des attaques plus étendues.

Bien qu’il n’y ait pas de signalements confirmés d’exploitation active, il existe un exploit public disponible, ce qui augmente considérablement la probabilité d’attaques. Cette vulnérabilité n’est pas encore répertoriée dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA. Toute organisation utilisant cet appareil avec le service Modbus exposé sur le réseau devrait le considérer comme une menace critique.

ProduitSocomec DIRIS Digiware M-70
Date2025-12-05 00:17:49

Résumé technique

La vulnérabilité réside dans le service Modbus RTU over TCP sur l’appareil Socomec DIRIS Digiware M-70. La cause principale est un défaut dans la validation des entrées (similaire à CWE-20 : Improper Input Validation) dans le code qui analyse les paquets Modbus. Le service ne gère pas correctement un paquet spécialement malformé, provoquant une corruption de l’état qui déclenche une erreur système.

L’attaque se déroule selon la séquence suivante :

  1. Un attaquant non authentifié envoie un paquet Modbus spécialement conçu vers le port d’écoute de l’appareil (généralement TCP/502).
  2. La pile réseau de l’appareil transmet le paquet au service Modbus pour traitement. Le service échoue à valider la structure du paquet, provoquant une exception non gérée.
  3. Cette exception déclenche une condition d’erreur qui lance par erreur une routine de « réinitialisation d’usine » en tant que mesure de protection. Cette routine ne redémarre pas seulement l’appareil, causant un Déni de Service, mais restaure également toutes les configurations, y compris les identifiants utilisateur, aux valeurs par défaut.
  4. Une fois redémarré, l’attaquant peut s’authentifier avec les identifiants administratifs par défaut bien connus et obtenir le contrôle total de l’appareil.

Un attaquant peut exploiter cet accès pour manipuler les données de surveillance énergétique, désactiver les alarmes ou utiliser l’appareil comme point d’accès persistant pour attaquer d’autres systèmes critiques du réseau OT. Toutes les versions de firmware antérieures à la version corrigée sont considérées comme vulnérables. Le fournisseur a publié un avis de sécurité et des mises à jour de firmware pour résoudre le problème.

Recommandations

  • Correction immédiate : Mettre à jour le firmware de l’appareil vers la version la plus récente publiée par Socomec qui corrige explicitement la CVE-2025-20085.
  • Atténuations :
    • Mettre en œuvre une segmentation réseau rigoureuse pour isoler les réseaux OT des réseaux IT d’entreprise et d’Internet.
    • Utiliser un pare-feu ou des listes de contrôle d’accès (ACL) pour limiter l’accès au port Modbus TCP (502/TCP) uniquement aux stations de gestion de confiance et au personnel autorisé.

  • Chasse aux menaces et surveillance :

    • Surveiller les journaux réseau pour détecter des tentatives de connexion suspectes ou des paquets malformés dirigés vers le port Modbus TCP sur les appareils vulnérables.
    • Vérifier les journaux de l’appareil pour des indicateurs de compromission, tels que des redémarrages imprévus, des modifications de configuration ou des entrées de journal indiquant une réinitialisation d’usine.
    • Surveiller activement toute tentative d’authentification utilisant les identifiants d’usine. Si détecté, considérer cela comme une compromission confirmée.

  • Réponse aux incidents :

    • En cas de suspicion de compromission, isoler immédiatement l’appareil concerné du réseau pour empêcher tout mouvement latéral.
    • Effectuer une mise à jour complète du firmware et réinitialiser de manière sécurisée tous les identifiants, en s’assurant que les nouveaux mots de passe ne sont ni par défaut ni facilement devinables.
    • Analyser les journaux et les paquets de trafic réseau pour déterminer l’étendue de la violation.

  • Défense en profondeur :

    • Appliquer une politique imposant la modification des identifiants par défaut sur tous les appareils activés sur le réseau, en particulier dans les environnements OT, lors du processus de mise en service initiale.
    • Maintenir des sauvegardes régulières des configurations des appareils pour permettre une restauration rapide en cas de réinitialisation ou de compromission.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *