ISGroup Conseil en Cybersécurité

CVE-2025-54851 : Vulnérabilité de déni de service (DoS) non authentifiée dans Socomec DIRIS Digiware M-70

Le Socomec DIRIS Digiware M-70 est un dispositif modulaire de surveillance de l’énergie, fréquemment utilisé dans les environnements d’infrastructures critiques tels que les centres de données, les installations industrielles et les structures commerciales. Ces dispositifs fournissent une visibilité essentielle sur les installations électriques, permettant aux opérateurs de gérer la qualité de l’alimentation, d’anticiper les pannes et d’optimiser les consommations énergétiques. Leur fonction est fondamentale pour maintenir la stabilité opérationnelle et prévenir des temps d’arrêt coûteux.

Cette vulnérabilité représente un risque significatif car elle permet à un attaquant non authentifié ayant accès au réseau de rendre le dispositif inopérant à distance, provoquant une perte complète des fonctionnalités de surveillance de l’énergie. La complexité de l’attaque est faible et ne nécessite qu’un seul paquet réseau spécifiquement conçu pour activer la condition de déni de service. Cela peut engendrer une cécité opérationnelle, masquant potentiellement des pannes électriques graves ou des surcharges susceptibles de causer des dommages aux équipements ou des arrêts généralisés.

Bien que la vulnérabilité ne figure pas dans le catalogue des Known Exploited Vulnerabilities (KEV) de la CISA et qu’il n’y ait aucune preuve de son exploitation active, sa simplicité en fait une cible attrayante pour les acteurs malveillants. Toute organisation s’appuyant sur ce dispositif pour la gestion de l’alimentation dans des environnements sensibles devrait la considérer comme une menace de haute priorité, surtout pour les dispositifs non isolés des réseaux d’entreprise ou externes.

ProduitSocomec DIRIS Digiware M-70
Date2025-12-05 00:20:44

Résumé technique

La vulnérabilité de déni de service est due à une validation inappropriée des entrées lors du traitement de certaines commandes Modbus. La cause principale semble être un défaut dans le firmware du dispositif qui ne gère pas correctement une opération d’écriture spécifique, entraînant un blocage du système ou le plantage d’un processus. Cette vulnérabilité relève de la catégorie CWE-20 : Improper Input Validation.

L’attaque se réalise en envoyant un paquet Modbus TCP malveillant à l’interface de gestion du dispositif sur le port 503. La séquence technique est la suivante :

  1. Un attaquant non authentifié crée une requête Modbus TCP “Write Single Register”, qui correspond au code de fonction 6.
  2. La requête est spécifiquement configurée pour cibler le registre 4352.
  3. La valeur à écrire sur ce registre est définie à 1.
  4. Au moment de la réception et du traitement de ce paquet unique, le firmware du dispositif entre dans un état instable et cesse de fonctionner, provoquant de fait un déni de service. Le dispositif devient non réactif et ne fournit plus de données de surveillance jusqu’à un redémarrage manuel.

La vulnérabilité est confirmée dans la version de firmware 1.6.9. Au moment de cet avis, aucune version corrective n’a été spécifiée. Un attaquant peut exploiter cette vulnérabilité pour interrompre des opérations de surveillance critiques, causant un impact opérationnel significatif sans nécessité d’accès ou d’identifiants.

Recommandations

  • Appliquer les correctifs immédiatement : Contacter le fournisseur, Socomec, pour obtenir des informations sur les mises à jour du firmware résolvant cette vulnérabilité. Les organisations doivent planifier une mise en œuvre immédiate dès que le correctif sera disponible.
  • Atténuations :
    • Limiter l’accès réseau au port Modbus TCP 503 sur les dispositifs DIRIS Digiware M-70. L’accès doit être restreint à un sous-réseau de gestion de confiance ou à des adresses IP autorisées spécifiques.
    • Mettre en œuvre une segmentation réseau rigoureuse pour isoler les réseaux de systèmes de contrôle industriel (ICS) et de technologie opérationnelle (OT) des réseaux informatiques d’entreprise et des réseaux externes.
    • Déployer des pare-feu ou des règles de contrôle d’accès réseau pour bloquer tout trafic entrant non sollicité vers le dispositif.

  • Analyse et surveillance :

    • Surveiller le trafic réseau pour les paquets Modbus TCP dirigés vers le port 503. En particulier, créer des règles de détection pour les commandes “Write Single Register” (code de fonction 6) dirigées vers le registre 4352.
    • Mettre en œuvre une surveillance de la disponibilité pour tous les dispositifs DIRIS Digiware M-70 afin de générer des alertes en cas de non-réponse ou de redémarrages inattendus.

  • Réponse aux incidents :

    • Si un dispositif ne répond plus, l’isoler immédiatement du réseau pour empêcher toute interaction supplémentaire.
    • Conserver les journaux réseau et les journaux du dispositif (si accessibles) pour identifier l’adresse IP source ayant envoyé le paquet malveillant avant de procéder à un redémarrage manuel.

  • Défense en profondeur :

    • S’assurer de disposer d’un inventaire complet et à jour de tous les dispositifs OT.
    • Réexaminer et appliquer régulièrement les politiques de segmentation réseau entre les environnements IT et OT.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *