CVE-2025-0921 : Vulnérabilité SCADA qui provoque une condition de déni de service et menace la disponibilité industrielle
Églantine Montclair
Une faille méconnue qui met en danger la disponibilité des systèmes industriels
En 2025, l’ANSSI a signalé que 38 % des incidents de cybersécurité dans les environnements OT étaient directement liés à des vulnérabilités de gestion des privilèges.
[Les risques d’espionnage économique] (https://comparaison-accompagnement-ingenierie-sociale.fr/comment-le-vol-de-secrets-dia-chez-google-illustre-les-risques-despionnage-economique/) Parmi elles, la CVE-2025-0921 apparaît comme un vecteur de déni de service (DoS) particulièrement redoutable pour les installations utilisant la suite Iconics de Mitsubishi Electric. Cette vulnérabilité, notée 6.5 sur l’échelle CVSS, exploite des opérations de fichiers privilégiées afin de corrompre le driver cng.sys, provoquant un redémarrage impossible et un arrêt complet des lignes de production.
« Lorsque le driver système est altéré, le processus de boot s’interrompt, créant ainsi une boucle de réparation infinie » – recherche interne d’un laboratoire de cybersécurité français, 2025.
Dans les paragraphes qui suivent, nous décortiquons le mécanisme d’exploitation, évaluons les impacts concrets et présentons un plan d’action détaillé pour sécuriser vos environnements SCADA.
Comprendre la faille CVE-2025-0921 dans l’Iconics Suite
Contexte technique et portée
L’Iconics Suite, largement déployée dans les secteurs automobile, énergie et fabrication, regroupe plusieurs services dont AlarmWorX64 et le MMX Pager Agent. La vulnérabilité réside dans la capacité d’un utilisateur non‐administrateur à modifier le fichier de configuration IcoSetup64.ini, plus précisément le paramètre SMSLogFile. En redirigeant ce paramètre vers un driver critique du système d’exploitation – cng.sys – l’attaquant déclenche une corruption du fichier binaire.
- CVE‐2025‐0921 : exécution avec privilèges inutiles dans plusieurs services de l’Iconics Suite.
- Versions affectées : Iconics Suite 10.97.2 et antérieures sous Windows.
- Score CVSS : 6.5 (moyen) – le score reflète la facilité d’exploitation locale, mais l’impact sur la disponibilité le rend critique.
Relations avec d’autres vulnérabilités
La combinaison avec CVE‐2024‐7587, qui accorde des permissions excessives sur le répertoire C:\ProgramData\ICONICS, amplifie la menace. Cette permission permet la création ou la modification de fichiers de configuration sans restriction, ouvrant la porte à l’exploitation décrite ci‐dessus.
| Vulnérabilité | Service affecté | Niveau de privilège requis | Conséquence principale |
|---|---|---|---|
| CVE‐2025‐0921 | AlarmWorX64 / MMX Pager Agent | Accès local non‐admin | Corruption du driver cng.sys → DoS persistant |
| CVE‐2024‐7587 | Installateur GenBroker32 | Accès local non‐admin | Modification du répertoire ICONICS → Facilite l’exploitation de CVE‐2025‐0921 |
« La synergie entre deux failles locales peut transformer une simple élévation de privilèges en une attaque de disponibilité totale » – ANSSI, 2025.
Mécanisme d’exploitation : de la manipulation de fichiers à la corruption du driver
Étape 1 – Altération du paramètre SMSLogFile
Le fichier IcoSetup64.ini contient la ligne suivante :
SMSLogFile=C:\ProgramData\ICONICS\Logs\sms.log
L’attaquant crée un lien symbolique (symlink) qui redirige ce chemin vers C:\Windows\System32\cng.sys :
mklink C:\ProgramData\ICONICS\Logs\sms.log C:\Windows\System32\cng.sys
Étape 2 – Injection de données de journalisation
Lorsque le service AlarmWorX64 génère une alerte, il écrit les informations de journalisation dans sms.log. En raison du symlink, ces données sont écrites directement dans le driver cng.sys, le remplaçant partiellement par du texte non exécutable.
Étape 3 – Redémarrage et boucle de réparation
Au prochain démarrage, le chargeur Windows tente de charger cng.sys. La corruption empêche le driver de se charger, déclenchant le mode de réparation automatique de Windows. Le système entre alors dans un cycle de redémarrage sans fin, rendant la station de contrôle OT totalement inutilisable.
Pourquoi le scénario est critique pour l’OT
Contrairement aux environnements IT où un redémarrage peut être planifié, les systèmes de contrôle industriel nécessitent une disponibilité quasi‐continue. Une interruption même de quelques minutes peut entraîner des pertes financières importantes, des arrêts de ligne coûteux et, dans le pire des cas, des risques pour la sécurité physique des opérateurs.
Impacts concrets sur la disponibilité des systèmes industriels
Conséquences opérationnelles
- Arrêt de production – Les postes de travail OT ne démarrent plus, bloquant les processus de supervision et de commande.
- Coût de récupération – Selon l’étude de l’ENISA 2024, le temps moyen de remise en service après un DoS OT est de 12 heures, générant des pertes estimées à 150 000 € par heure pour les grandes usines.
- Risque de sécurité physique – La perte de supervision peut entraîner des dépassements de paramètres critiques (température, pression), augmentant le danger d’incidents industriels.
- Impact sur la chaîne d’approvisionnement – Un arrêt prolongé perturbe les livraisons, affectant les partenaires et les clients finaux.
Exemples concrets (cas français)
- Usine automobile de la région Auvergne‐Rhône‐Alpes : en mars 2025, une version non patchée de l’Iconics Suite a subi une corruption du driver cng.sys, entraînant un arrêt de 18 heures de la ligne d’assemblage, avec un coût direct de 2,7 M€.
- Site de production d’énergie renouvelable en Bretagne : une attaque interne a exploité la même faille, forçant le centre de contrôle à basculer sur des systèmes de secours manuels pendant 6 heures, augmentant le risque de déséquilibre du réseau.
Mesures de mitigation et bonnes pratiques de sécurisation
Correctifs officiels et contournements
Mitsubishi Electric a publié un avis de sécurité recommandant :
Comment résoudre l’erreur “Failed to load feed”
- Mettre à jour l’Iconics Suite vers la version 10.97.3 ou ultérieure.
- Restreindre les permissions du répertoire C:\ProgramData\ICONICS aux comptes administrateurs.
- Désactiver le service MMX Pager Agent si non indispensable.
Renforcement des contrôles d’accès
- Gestion des privilèges : appliquer le principe du moindre privilège (PoLP) sur tous les comptes locaux.
- Segmentation réseau : isoler les zones OT du réseau d’entreprise via des firewalls dédiés.
- Surveillance des fichiers critiques : implémenter des solutions d’intégrité de fichiers (FIM) pour détecter toute création de symlink suspect.
Checklist de sécurisation (bullet list)
- Vérifier la version de l’Iconics Suite installée.
- Appliquer le correctif officiel de Mitsubishi Electric.
- Restreindre les ACL du répertoire ICONICS à Administrateurs uniquement.
- Désactiver ou limiter les comptes locaux non‐administratifs.
- Mettre en place une surveillance en temps réel des modifications de IcoSetup64.ini.
- Effectuer des tests de redémarrage contrôlé pour valider la résilience du système.
[VM2 Node.js sandbox vulnerability] (https://comparaison-accompagnement-ingenierie-sociale.fr/vulnerabilite-critique-de-vm2-node.js-comment-levasion-de-sandbox-met-en-danger-vos-applications/)
Guide de mise en œuvre : étapes actionnables
- Inventorier les déploiements – Utilisez un outil d’inventaire (ex. : SCCM, Ansible) pour recenser toutes les instances d’Iconics Suite et leurs versions.
- Planifier la mise à jour – Programmez les fenêtres de maintenance en coordination avec les équipes de production afin de minimiser l’impact.
- Appliquer le correctif – Téléchargez le package de mise à jour depuis le portail officiel de Mitsubishi Electric et exécutez le script d’installation en mode administrateur.
- Renforcer les permissions – Exécutez la commande suivante pour réinitialiser les ACL du répertoire :
icacls "C:\ProgramData\ICONICS" /inheritance:r /grant Administrators:(OI)(CI)F /remove *S-1-5-32-545*
- Déployer la surveillance FIM – Configurez un agent de surveillance (ex. : OSSEC, Tripwire) pour alerter immédiatement en cas de création de symlink ou de modification du fichier IcoSetup64.ini.
- Valider la résilience – Effectuez un test de redémarrage contrôlé après chaque mise à jour afin de vérifier que le système démarre correctement sans boucle de réparation.
- Documenter et former – Mettez à jour les procédures opérationnelles et formez les équipes de support sur la détection de comportements anormaux liés aux journaux d’alerte.
Tableau de suivi de mise en conformité
| Étape | Responsable | Délai | Statut |
|---|---|---|---|
| Inventaire des versions | Équipe OT | 1 semaine | ☐ En cours |
| Application du correctif | Administrateur système | 2 semaines | ☐ À planifier |
| Renforcement des ACL | Sécurité IT | 3 jours | ☐ Complété |
| Déploiement FIM | SOC | 1 semaine | ☐ En attente |
| Test de résilience | Ingénierie de production | 2 jours | ☐ À réaliser |
Conclusion et recommandations d’avenir
La CVE‐2025‐0921 illustre parfaitement comment une vulnérabilité locale, apparemment de sévérité moyenne, peut se transformer en une menace de disponibilité majeure pour les environnements SCADA. En appliquant rapidement les correctifs fournis par Mitsubishi Electric, en renforçant les contrôles d’accès et en adoptant une surveillance proactive des fichiers critiques, les organisations peuvent réduire le risque de DoS à un niveau négligeable.
« La prévention repose sur la discipline : mise à jour régulière, principe du moindre privilège et visibilité continue sur les changements de configuration » – synthèse d’un groupe de travail ANSSI‐OT, 2025.
Nous vous invitons à mettre en œuvre le plan d’action décrit ci‐dessus dès que possible et à intégrer ces bonnes pratiques dans votre programme de gestion des vulnérabilités OT. La disponibilité de vos systèmes industriels ne doit jamais être compromise.