Une vulnérabilité nouvellement divulguée affecte plusieurs versions de la **série CNC de Mitsubishi Electric**, pouvant potentiellement entraîner des conditions de déni de service (DoS). La vulnérabilité, identifiée sous le nom de **CVE-2025-2399**, découle d'une validation incorrecte d'un index, d'une position ou d'un décalage spécifié dans les entrées. ### Détails de la vulnérabilité La **Cybersecurity and Infrastructure Security Agency (CISA)** a publié un avis détaillant la vulnérabilité. Une exploitation réussie pourrait permettre à un attaquant distant de déclencher une lecture hors limites en envoyant des paquets spécialement conçus au port TCP 683. Plus précisément, la vulnérabilité est classée comme CWE-1285, Validation incorrecte d'un index, d'une position ou d'un décalage spécifié dans les entrées. ### Produits affectés Les versions suivantes de la série CNC de Mitsubishi Electric sont affectées : * M800VW (BND-2051W000) <=BB * M800VS (BND-2052W000) <=BB * M80V (BND-2053W000) <=BB * M80VW (BND-2054W000) <=BB * M800W (BND-2005W000) <=FM * M800S (BND-2006W000) <=FM * M80 (BND-2007W000) <=FM * M80W (BND-2008W000) <=FM * E80 (BND-2009W000) <=FM * C80 (BND-2036W000) vers:all/* * M750VW (BND-1015W002) vers:all/* * M730VW (BND-1015W000) vers:all/* * M720VW (BND-1015W000) vers:all/* * M750VS (BND-1012W002) vers:all/* * M730VS (BND-1012W000-**) vers:all/* * M720VS (BND-1012W000) vers:all/* * M70V (BND-1018W000) vers:all/* * E70 (BND-1022W000) vers:all/* * NC Trainer2 (BND-1802W000) vers:all/* * NC Trainer2 plus (BND-1803W000) vers:all/* ### Impact Une exploitation réussie de cette vulnérabilité pourrait entraîner une condition de déni de service, perturbant les opérations dépendant des systèmes CNC affectés. ### Atténuation La **CISA** recommande les stratégies d'atténuation suivantes : * Minimiser l'exposition réseau de tous les appareils et systèmes de contrôle, en s'assurant qu'ils ne sont pas accessibles depuis Internet. * Placer les réseaux de systèmes de contrôle et les appareils distants derrière des pare-feu et les isoler des réseaux d'entreprise. * Lorsque l'accès à distance est requis, utiliser des méthodes sécurisées telles que les VPN, en s'assurant que les VPN sont mis à jour vers la version la plus récente. * Effectuer une analyse d'impact et une évaluation des risques appropriées avant de déployer des mesures de défense. ### Ressources supplémentaires Les organisations observant une activité malveillante suspecte doivent suivre les procédures internes établies et signaler leurs conclusions à la CISA. [Voir CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-078-05.json)