ISGroup Conseil en Cybersécurité

CVE-2025-23417 : Vulnérabilité de déni de service dans Socomec DIRIS Digiware M-70 sur Modbus RTU sur TCP

Le Socomec DIRIS Digiware M-70 est un dispositif ICS (Industrial Control System) spécialisé dans la surveillance et la gestion de l’énergie pour les secteurs des infrastructures critiques, notamment les centres de données, les usines de production et les installations industrielles. Sa fonction est essentielle pour garantir la qualité de l’énergie, gérer la consommation énergétique et assurer la visibilité sur les systèmes électriques, rendant sa disponibilité cruciale pour la continuité opérationnelle.

Le risque principal est un déni de service (DoS) non authentifié à fort impact, activable à distance via un simple paquet réseau. Cela permet à un attaquant possédant des compétences minimales d’interrompre des capacités de surveillance critiques, masquant potentiellement des pannes électriques graves ou des problèmes de qualité de l’alimentation. Cela pourrait entraîner des interruptions opérationnelles, une augmentation des coûts énergétiques, voire des dommages aux installations dans des environnements sensibles.

Il n’existe actuellement aucune preuve d’exploitation active de cette vulnérabilité. Cependant, compte tenu de la divulgation publique de la faille et de la faible complexité du vecteur d’attaque, tout dispositif DIRIS Digiware M-70 dont le service Modbus est exposé à un réseau non fiable est sérieusement exposé. Ces systèmes sont souvent considérés comme des équipements “installés et oubliés” et peuvent ne pas être mis à jour régulièrement, ce qui accroît leur vulnérabilité.

ProduitSocomec DIRIS Digiware M-70
Date05/12/2025 00:27:39

Résumé technique

La vulnérabilité réside dans la gestion de la pile de protocole Modbus RTU over TCP du dispositif. La cause principale est une erreur de validation des entrées, où le service ne parvient pas à interpréter correctement un paquet réseau spécialement conçu. Cela permet à un attaquant de déclencher une exception non gérée ou un état d’épuisement des ressources dans le firmware, provoquant l’arrêt complet du dispositif.

La séquence de l’attaque est la suivante :

  1. L’attaquant identifie un dispositif Socomec DIRIS Digiware M-70 sur le réseau.
  2. Un paquet Modbus RTU over TCP malformé est envoyé au service en écoute sur le dispositif.
  3. La logique d’analyse du firmware ne parvient pas à traiter les données anormales présentes dans le paquet, provoquant un blocage du système ou le plantage d’un processus.
  4. Le dispositif entre dans un état de déni de service, cessant toutes ses fonctions de surveillance et de communication jusqu’à ce qu’il soit redémarré manuellement.

Un attaquant non authentifié ayant accès au réseau peut provoquer de manière fiable une perte totale de disponibilité du dispositif cible, interrompant toutes les fonctionnalités de surveillance énergétique.

  • Firmware concerné : 1.6.9
  • Firmware corrigé : Aucun correctif disponible au moment de l’alerte. Les utilisateurs doivent consulter les avis du fournisseur pour les mises à jour.

Recommandations

  • Surveiller les avis du fournisseur : Comme aucun correctif n’est actuellement disponible, abonnez-vous immédiatement aux alertes de sécurité de Socomec pour recevoir des notifications dès la publication d’une version corrigée du firmware.

  • Segmentation du réseau : Il s’agit de la mesure d’atténuation la plus critique. Limitez l’accès au service Modbus RTU over TCP (généralement sur le port 502) à un réseau de gestion dédié et fiable. Bloquez tout accès depuis des réseaux non fiables, y compris Internet, au niveau du pare-feu. N’exposez jamais directement des dispositifs ICS/OT à Internet.

  • Chasse et surveillance :

    • Surveillez les journaux des pare-feux et le trafic réseau pour détecter toute tentative de connexion au service Modbus depuis des adresses IP ou des sous-réseaux non autorisés.
    • Établissez une ligne de base du trafic Modbus normal et générez des alertes en cas de déviations significatives ou de paquets malformés.
    • Surveillez l’état opérationnel des dispositifs DIRIS Digiware pour détecter les redémarrages inattendus ou les périodes d’inactivité, qui pourraient indiquer des tentatives d’exploitation.

  • Réponse aux incidents :

    • Si un dispositif devient non réactif, isolez immédiatement le segment réseau concerné pour prévenir d’autres attaques ou mouvements latéraux.
    • Avant le redémarrage, capturez le trafic réseau si possible pour faciliter l’analyse forensique.
    • Après le redémarrage pour rétablir le service, examinez les journaux pour identifier l’adresse IP source de l’attaque et appliquez des règles de blocage.

  • Défense en profondeur :

    • Appliquez des listes de contrôle d’accès (ACL) rigoureuses sur les commutateurs et les routeurs pour tous les segments de réseau OT.
    • Maintenez des sauvegardes à jour de la configuration pour permettre une restauration rapide si un dispositif doit être réinitialisé ou remplacé.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *