Vulnérabilité SCADA CVE-2025-0921 : comment un défaut de privilèges déclenche un DoS critique
Orphée Grandsable
Selon le rapport annuel de l’ANSSI 2024, les attaques de type déni de service (DoS) ciblant les systèmes SCADA ont progressé de 27 % en un an, mettant en lumière la fragilité de la disponibilité dans les environnements industriels. Face à cette tendance, la vulnérabilité SCADA CVE-2025-0921 apparaît comme un scénario redoutable : un défaut de gestion des privilèges permet à un acteur malveillant de transformer un simple journal d’alerte en un vecteur de corruption système, entraînant un arrêt complet des chaînes de production.
Dans cet article, nous décortiquons la faille, évaluons son impact sur la disponibilité, et vous proposons un plan d’action détaillé pour sécuriser vos installations. Vous découvrirez également comment cette vulnérabilité s’articule avec d’autres failles connues, et quelles mesures concrètes mettre en place dès aujourd’hui.
Impact sur la disponibilité industrielle
Conséquences opérationnelles
Lorsque le cng.sys — driver cryptographique essentiel au démarrage de Windows — est corrompu, le système ne parvient plus à amorcer. Le résultat : un redémarrage en boucle, une perte de temps de disponibilité pouvant atteindre plusieurs heures, voire plusieurs jours si aucune procédure de récupération n’est disponible. Dans le secteur de l’énergie, un tel incident peut entraîner une interruption de la fourniture d’électricité, affectant des milliers de clients et générant des pertes financières estimées à plusieurs millions d’euros.
« L’indisponibilité d’un système de contrôle industriel est souvent plus coûteuse que la compromission de la confidentialité », souligne le Centre de Recherche en Sécurité des OT (CRS‐OT).
Exemple de scénario dans le secteur automobile
Imaginons une usine de montage de véhicules où le système SCADA supervise les robots de soudure. Un technicien, disposant d’un accès local non administrateur, exploite la vulnérabilité en créant un lien symbolique du fichier de log SMSLogFile vers cng.sys. Au prochain redémarrage du poste de contrôle, le driver est écrasé, et les robots s’immobilisent. L’arrêt de la ligne de production entraîne une perte de production de 1 800 unités, soit plus de 4 M€ de chiffre d’affaires journalier, sans compter les retards de livraison et la perte de confiance des clients.
Analyse technique de la faille CVE-2025-0921
Origine du vecteur d’attaque (AlarmWorX64)
La faille réside dans le composant AlarmWorX64 MMX Pager Agent du Mitsubishi Electric Iconics Suite. Ce service possède des privilèges élevés et effectue des opérations d’écriture sur le système de fichiers sans validation stricte du chemin fourni. Le fichier de configuration IcoSetup64.ini contient la clé SMSLogFile, qui indique le répertoire où les alertes sont journalisées.
Première mention technique : AlarmWorX64.
Exploitation via le fichier IcoSetup64.ini
Un acteur malveillant modifie la valeur de SMSLogFile pour pointer vers un fichier système critique, par exemple :
[Logging]
SMSLogFile=C:\Windows\System32\cng.sys
En créant un lien symbolique (mklink /D) depuis le chemin indiqué vers le driver, chaque nouvelle alerte écrase partiellement le fichier binaire du driver avec des données de log. Au prochain démarrage, Windows tente de charger le driver corrompu, ce qui conduit à un échec de boot.
Interaction avec CVE-2024-7587
La vulnérabilité CVE-2024-7587 affecte le composant GenBroker32 et octroie des droits d’écriture excessifs sur le répertoire C:\ProgramData\ICONICS. Cette faiblesse facilite la modification du fichier IcoSetup64.ini par tout utilisateur local, amplifiant ainsi la portée de CVE-2025-0921. L’exploitation combinée crée une chaîne d’attaque où le premier défaut ouvre la porte à la corruption du driver via le second.
« La combinaison de deux failles de privilèges constitue un scénario d’attaque de haut niveau, souvent sous‐estimé dans les évaluations de risque », indique le rapport de Palo Alto Networks 2025.
Mesures de mitigation recommandées
Correctifs officiels et workarounds
Mitsubishi Electric a publié un security advisory le 15 janvier 2026 recommandant :
- Mise à jour vers la version Iconics Suite 10.98.0 ou ultérieure.
- Application du patch KB‐2026‐001 qui restreint les droits du service AlarmWorX64 aux comptes système uniquement.
- Activation du mode de journalisation sécurisé qui valide les chemins d’accès avant écriture.
Bonnes pratiques de gestion des privilèges
- Principe du moindre privilège : limiter les comptes locaux à des droits de lecture seule sur les répertoires de configuration.
- Segmentation réseau : isoler les postes de travail OT du réseau d’entreprise (LAN) via des VLAN dédiés.
- Contrôle d’accès basé sur les rôles (RBAC) : attribuer les droits d’administration uniquement aux ingénieurs de sécurité.
Checklist de durcissement
- Recenser toutes les installations Iconics Suite ≤ 10.97.2.
- Vérifier les permissions du répertoire C:\ProgramData\ICONICS.
- Appliquer les correctifs de sécurité publiés.
- Auditer les journaux d’accès aux fichiers de configuration.
- Tester le redémarrage des postes après mise à jour du driver.
Guide de mise en œuvre pas à pas
- Inventaire des versions : utilisez un script PowerShell pour extraire la version du logiciel :
Get-ItemProperty -Path "HKLM:\Software\ICONICS\IconicsSuite" | Select-Object DisplayVersion - Application du patch : téléchargez le package depuis le portail de support Mitsubishi et exécutez :
msiexec /i IconicsSuite_10.98.0.msi /quiet REBOOT=ReallySuppress - Vérification post‐patch : confirmez que le service AlarmWorX64 s’exécute sous le compte LocalSystem avec les droits requis.
- Contrôle des journaux : activez la journalisation détaillée et inspectez les entrées relatives à SMSLogFile.
- Simulation d’incident : créez un environnement de test où vous reproduisez la création du lien symbolique afin de valider la résilience du correctif.
Tableau comparatif des options de mitigation
| Option | Effort de déploiement | Impact sur la disponibilité | Coût estimé (€/an) | Niveau de sécurité |
|---|---|---|---|---|
| Patch officiel (v10.98.0) | Moyen (mise à jour logicielle) | Aucun (reboot requis) | 1 200 | Élevé |
| Workaround de désactivation du service AlarmWorX64 | Faible (service stoppé) | Risque de perte de fonctionnalité d’alerte | 300 | Moyen |
| Segmentation réseau + RBAC | Élevé (reconfiguration infra) | Aucun | 4 500 | Très élevé |
| Surveillance continue des fichiers de configuration | Moyen (déploiement d’agent) | Aucun | 1 800 | Élevé |
Conclusion – Prochaine action avec avis tranché
La vulnérabilité SCADA CVE-2025-0921 représente une menace directe pour la disponibilité des systèmes industriels français, surtout lorsqu’elle s’associe à la faille CVE-2024-7587. Ignorer ce problème équivaut à laisser une porte ouverte sur des lignes de production critiques. Nous recommandons d’appliquer sans délai le correctif officiel, de mettre en place la check‐list de durcissement et d’envisager une segmentation réseau renforcée pour limiter les vecteurs d’accès.
En pratique, commencez dès aujourd’hui par l’inventaire des installations, puis planifiez le déploiement du patch dans les deux prochaines semaines. Une fois le correctif appliqué, validez l’efficacité via les tests de simulation décrits dans le guide pas à pas. Ainsi, vous assurez la continuité de vos opérations et protégez vos actifs OT contre les interruptions de service coûteuses.