Selon Cisco Talos (blog), des chercheurs ont publié cinq vulnérabilités touchant des systèmes de contrôle industriel et un routeur IoT, avec des règles Snort disponibles pour détecter les tentatives d’exploitation.
-
Les failles comprennent un déni de service dans OpenPLC (CVE-2025-53476) et quatre vulnérabilités dans le routeur IoT Planet WGR-500: dépassements de pile, injection de commandes OS et format string. Impact potentiel: perturbation d’opérations industrielles, exécution de commandes arbitraires et corruption mémoire ⚠️.
-
Détails techniques cités:
- TALOS-2025-2223: DoS via des connexions TCP forgées vers le serveur ModbusTCP d’OpenPLC.
- TALOS-2025-2226: multiples dépassements de pile dans la fonctionnalité
formPingCmd. - TALOS-2025-2227 et TALOS-2025-2229: injection de commandes OS via
swctrletformPingCmdau moyen de requêtes HTTP spécialement conçues. - TALOS-2025-2228: vulnérabilité de format string menant à une corruption mémoire.
-
Surface d’attaque: toutes les failles du Planet WGR-500 sont déclenchables par des requêtes réseau ciblant l’interface Web et les fonctions de gestion du routeur.
-
Détection: des règles Snort sont disponibles pour aider les organisations à détecter les tentatives d’exploitation.
IOCs: non fournis.
TTPs mentionnés:
- DoS via trafic TCP forgé vers ModbusTCP (OpenPLC)
- Requêtes HTTP spécialement conçues vers l’interface d’administration (Planet WGR-500)
- Dépassement de pile (stack-based buffer overflow)
- Injection de commandes OS via
swctrletformPingCmd - Format string conduisant à corruption mémoire
Type d’article: rapport de vulnérabilité. But principal: divulgation de failles ICS/IoT et partage de règles de détection Snort.
🔗 Source originale : https://blog.talosintelligence.com/open-plc-and-planet-vulnerabilities/