ISGroup Conseil en Cybersécurité

CVE-2025-55222 : Vulnérabilité de déni de service du service Modbus dans Socomec DIRIS Digiware M-70

Le Socomec DIRIS Digiware M-70 est une passerelle modulaire destinée aux systèmes de surveillance énergétique et électrique, souvent utilisée dans des environnements critiques tels que les centres de données, les installations industrielles et les bâtiments commerciaux. Ces dispositifs fournissent une visibilité essentielle sur l’état et les performances de l’infrastructure électrique.

Une vulnérabilité de haute gravité permet à un attaquant distant non authentifié de provoquer un déni de service complet. Une attaque réussie rend la passerelle M-70 inopérante, empêchant les opérateurs d’accéder aux données d’alimentation en temps réel et aux fonctions de contrôle. Cela représente un risque opérationnel significatif, car la perte de surveillance peut retarder la réponse à des événements électriques critiques, avec un risque de dommages aux équipements ou d’interruptions d’activité.

Toute organisation utilisant ces dispositifs avec le service Modbus accessible sur le port TCP 503 depuis des réseaux non fiables est exposée à un risque élevé d’interruption. Bien qu’un exploit de type preuve de concept (PoC) existe publiquement, il n’y a actuellement aucun signalement d’exploitation active de la vulnérabilité. Cette vulnérabilité n’est pas répertoriée dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA.

ProduitSocomec DIRIS Digiware M-70
Date05/12/2025 00:38:27

Résumé technique

La vulnérabilité est présente dans les services Modbus TCP et Modbus RTU en écoute sur le port TCP 503 de la passerelle Socomec DIRIS Digiware M-70. La cause principale est une gestion inappropriée de paquets Modbus spécialement conçus, correspondant à la CWE-20 : Validation d’entrée inappropriée. Le micrologiciel (firmware) du dispositif ne parvient pas à interpréter ou à valider correctement certaines requêtes malformées.

La chaîne d’attaque est la suivante :

  1. Un attaquant distant non authentifié crée un paquet Modbus spécifique et malformé.
  2. Le paquet est envoyé au port TCP 503 exposé d’une passerelle M-70 vulnérable.
  3. Le service Modbus tente de traiter le paquet invalide, provoquant une exception non gérée ou un état d’erreur qui entraîne l’arrêt du service ou l’épuisement des ressources du dispositif.
  4. Cela provoque un déni de service complet, où la passerelle interrompt toutes les fonctions de surveillance et de communication. Le dispositif ne répond plus à aucune requête réseau légitime et nécessite un cycle d’alimentation manuel pour rétablir ses fonctionnalités.

Un attaquant ayant accès au réseau sur le port Modbus peut interrompre de manière répétée les fonctionnalités de surveillance critique à sa guise. Les utilisateurs doivent consulter les avis officiels du fournisseur pour obtenir des informations sur les micrologiciels concernés et corrigés.

Recommandations

  • Mise à jour immédiate : Consultez les avis officiels de Socomec concernant les mises à jour du micrologiciel corrigeant la CVE-2025-55222 et appliquez-les dès que possible.

  • Atténuations :

    • Limiter l’accès réseau : Assurez-vous que la passerelle DIRIS Digiware M-70 n’est pas exposée à Internet. Utilisez des pare-feux ou des listes de contrôle d’accès (ACL) pour restreindre strictement l’accès au port TCP 503 aux seules stations de gestion fiables et aux dispositifs autorisés.
    • Segmentation réseau : Isolez les réseaux des systèmes de contrôle industriel (ICS) et de la technologie opérationnelle (OT) des réseaux informatiques d’entreprise pour prévenir les accès non autorisés et réduire la surface d’attaque.

  • Chasse aux menaces (Hunting) & Surveillance :

    • Surveillez les journaux de trafic réseau et de pare-feu pour détecter des tentatives de connexion non autorisées ou des activités de scan dirigées vers le port TCP 503 sur les dispositifs sensibles.
    • Mettez en œuvre une surveillance de la disponibilité (uptime) et créez des alertes pour les redémarrages imprévus ou les périodes de non-réponse de la passerelle M-70, car ce sont des indicateurs clés d’une attaque DoS réussie.

  • Réponse aux incidents :

    • Si un dispositif ne répond plus, mettez immédiatement en œuvre des ACL réseau pour l’isoler de la source présumée de l’attaque.
    • Conservez les journaux des dispositifs réseau en amont pour l’analyse forensique. Un cycle d’alimentation manuel du dispositif sera nécessaire pour rétablir ses fonctionnalités.

  • Défense en profondeur :

    • Maintenez un inventaire complet de tous les actifs OT et de leurs versions de micrologiciel pour garantir l’identification rapide des dispositifs vulnérables.
    • Effectuez des sauvegardes régulières des configurations des dispositifs pour permettre une restauration rapide en cas d’incident.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *