# Les appareils RTU500 de Hitachi Energy font face à de multiples vulnérabilités critiques **Hitachi Energy** a publié un avis concernant une série de vulnérabilités affectant le firmware CMU de sa série **RTU500**, des composants cruciaux déployés dans les infrastructures critiques à travers le monde. L'exploitation de ces failles pourrait entraîner de graves perturbations opérationnelles, principalement par le biais d'un déni de service (DoS), avec des impacts secondaires potentiels sur la confidentialité et l'intégrité des données. [Voir l'avis CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-155-04.json) ## Produits affectés et impact sur les infrastructures critiques Les vulnérabilités affectent diverses versions du firmware CMU de la série **Hitachi Energy RTU500**, spécifiquement : * Versions 12.7.1 – 12.7.7 * Versions 13.5.1 – 13.5.4 * Versions 13.6.1 – 13.6.3 * Versions 13.7.1 – 13.7.8 * Version 13.8.1 Ces appareils **RTU500** sont largement déployés dans des secteurs d'infrastructure critiques, notamment les barrages, l'énergie, ainsi que les systèmes d'eau et d'eaux usées à l'échelle mondiale. Le potentiel de perturbation dans de tels environnements souligne l'urgence de traiter ces problèmes de sécurité. ## Analyse approfondie des vulnérabilités Les vulnérabilités divulguées couvrent plusieurs types, avec un score CVSS v3 élevé de 7,8, indiquant un risque significatif. Elles incluent des déréférencements de pointeurs NULL, des débordements d'entiers et des boucles infinies. ### CVE-2025-69421 : Déréférencement de pointeur NULL dans le traitement PKCS#12 Cette vulnérabilité, classée [CWE-476 Déréférencement de pointeur NULL](https://cwe.mitre.org/data/definitions/476.html), se produit lors du traitement d'un fichier **PKCS#12** malformé. La fonction `PKCS12_item_decrypt_d2i_ex()` ne parvient pas à vérifier les pointeurs NULL, ce qui entraîne un crash et un déni de service. Cet impact est limité au DoS et ne peut pas être exploité pour l'exécution de code ou la divulgation de mémoire. Elle affecte les produits où un utilisateur privilégié télécharge un certificat **PKCS#12** malformé via l'interface web ou si la fonctionnalité client PKI est configurée. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2025-69421) ### CVE-2026-24515, CVE-2026-32776, & CVE-2026-32778 : Multiples déréférencements de pointeurs NULL dans libexpat Plusieurs vulnérabilités liées aux déréférencements de pointeurs NULL ont été identifiées dans la bibliothèque d'analyse XML **libexpat**, utilisée par les appareils **RTU500** lorsque la fonctionnalité **IEC 61850** est configurée : * **CVE-2026-24515** ([CWE-476](https://cwe.mitre.org/data/definitions/476.html)) : Se produit dans `XML_ExternalEntityParserCreate` en raison de la non-copie des données utilisateur du gestionnaire d'entités externes, entraînant un DoS. * **CVE-2026-32776** ([CWE-476](https://cwe.mitre.org/data/definitions/476.html)) : Permet un déréférencement de pointeur NULL avec un contenu d'entité de paramètre externe vide, provoquant un DoS. * **CVE-2026-32778** ([CWE-476](https://cwe.mitre.org/data/definitions/476.html)) : Un déréférencement de pointeur NULL peut se produire dans la fonction `setContext` lors d'une nouvelle tentative après une condition de mémoire insuffisante, résultant en un DoS. [Voir les détails CVE-2026-24515](https://www.cve.org/CVERecord?id=CVE-2026-24515) [Voir les détails CVE-2026-32776](https://www.cve.org/CVERecord?id=CVE-2026-32776) [Voir les détails CVE-2026-32778](https://www.cve.org/CVERecord?id=CVE-2026-32778) ### CVE-2026-25210 : Débordement d'entier dans libexpat Affectant également **libexpat** lorsque la fonctionnalité **IEC 61850** est configurée, **CVE-2026-25210** ([CWE-190 Débordement d'entier ou dépassement](https://cwe.mitre.org/data/definitions/190.html)) découle du fait que la fonction `doContent` ne parvient pas à déterminer correctement la taille du tampon en raison d'un manque de vérification de débordement d'entier pour la réallocation du tampon de balise. Cela provoque principalement un déni de service et peut potentiellement affecter la confidentialité et l'intégrité. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-25210) ### CVE-2026-32777 : Boucle infinie dans l'analyse DTD de libexpat Une autre vulnérabilité de **libexpat**, **CVE-2026-32777** ([CWE-835 Boucle avec condition de sortie inaccessible ('Boucle infinie')](https://cwe.mitre.org/data/definitions/835.html)), peut entraîner une boucle infinie lors de l'analyse du contenu DTD. Cela entraîne également un déni de service, affectant les produits configurés avec la fonctionnalité **IEC 61850**. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-32777) ### CVE-2026-8479 : Déréférencement de pointeur NULL IEC 60870-5-104 **CVE-2026-8479** ([CWE-476 Déréférencement de pointeur NULL](https://cwe.mitre.org/data/definitions/476.html)) affecte le protocole **IEC 60870-5-104** lorsqu'il est utilisé en mode bidirectionnel. Une séquence de messages spécialement conçue peut déclencher un déréférencement de pointeur NULL, provoquant un déni de service. Ceci est une préoccupation pour les produits configurés avec la fonctionnalité **IEC 60870-5-104** en mode bidirectionnel (BCI). [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2026-8479) ## Recommandations pour les opérateurs **Hitachi Energy** conseille à tous les utilisateurs concernés de se référer à leurs "Actions immédiates recommandées" pour obtenir des informations sur l'atténuation et la remédiation. Compte tenu de la nature critique des systèmes affectés, une attention immédiate à ces avis est primordiale. Les professionnels de la sécurité informatique gérant les déploiements **RTU500** devraient examiner leurs configurations, mettre à jour le firmware lorsque des correctifs sont disponibles, et mettre en œuvre une segmentation réseau ainsi que des contrôles d'accès stricts pour minimiser l'exposition aux exploits potentiels.