CVE-2026-10825 : RCE Moxa NPort ICS, CERTFR alerte

Les faits

Le 16 juin 2026, le CERT-FR a publié l'avis CERTFR-2026-AVI-0760 signalant de multiples vulnérabilités critiques affectant plusieurs gammes de convertisseurs série-Ethernet du fabricant taïwanais Moxa. Ces équipements, massivement déployés dans les environnements industriels (OT/SCADA), assurent la connexion entre des appareils série — automates programmables, capteurs, systèmes de contrôle — et des réseaux Ethernet IP. Leur présence dans des infrastructures critiques (production d'énergie, traitement des eaux, transport, manufacture, pétrochimie) confère à ces failles un niveau de risque opérationnel exceptionnellement élevé, bien au-delà du seul risque informatique.

La vulnérabilité principale, CVE-2026-10825, est un débordement de tampon basé sur la pile (stack-based buffer overflow) dans le serveur web intégré aux équipements NPort. Un attaquant distant non authentifié peut envoyer une requête HTTP spécialement forgée au service de gestion web embarqué, provoquant la corruption de la pile d'exécution et, dans les conditions exploitables, l'exécution de code arbitraire à distance (Remote Code Execution). Cette faille est estimée à un score CVSSv3.1 de 9.0 selon le vecteur AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, la classant en vulnérabilité critique. Elle ne requiert ni interaction utilisateur ni identifiant préalable : l'attaquant n'a besoin que d'une connectivité réseau vers le port de gestion web de l'équipement (généralement TCP/80 ou TCP/443), souvent accessible depuis le réseau OT, voire exposé à des segments non maîtrisés selon les inventaires de sources ouvertes spécialisées en OT.

CVE-2026-10828 est une seconde vulnérabilité documentée dans l'avis MPSA-268270 de Moxa, permettant la compromission de la confidentialité des données traitées par l'équipement. Sa nature exacte n'a pas été entièrement divulguée dans la phase d'avis initial (responsible disclosure partielle), mais les équipes de recherche indiquent qu'elle permet d'exfiltrer des configurations sensibles, des credentials de connexion stockés dans le firmware, ou des données série en transit entre les appareils industriels connectés. Dans un environnement SCADA, ces données peuvent inclure des mesures de processus industriels critiques, des paramètres d'automates (setpoints) ou des identifiants de gestion de réseau OT dont la compromission peut mener à des incidents physiques.

CVE-2026-10829 porte sur un contournement de politique de sécurité (security policy bypass) qui permet à un acteur malveillant de court-circuiter les mécanismes d'accès configurés sur le panneau d'administration du NPort. Utilisée seule, cette faille permet d'accéder à l'interface d'administration sans respecter les restrictions configurées. Combinée à CVE-2026-10825, elle forme une chaîne d'attaque en deux étapes : bypass des contrôles d'accès puis déclenchement du buffer overflow pour prise de contrôle totale de l'équipement. Ce type de chaîne d'exploitation est caractéristique des attaques APT ciblant les infrastructures OT, où les groupes d'attaquants étatiques exploitent méthodiquement plusieurs CVE pour maximiser l'impact.

Les produits affectés et leurs seuils de correction sont précisément documentés dans les bulletins Moxa du 16 juin 2026. Les NPort W2150A-W4 et W2250A-W4 (modèles Wi-Fi industriels) sont vulnérables dans toutes les versions antérieures à v1.5.1. Les NPort W2150A et W2250A en version v2.3 nécessitent l'application des derniers correctifs de sécurité. Les NPort 6000-G2 Series (serveurs de ports série haute densité) sont vulnérables dans les versions antérieures à v1.2.0. Ces trois gammes figurent parmi les plus déployées en environnements SCADA en Europe occidentale, avec des installations documentées dans des usines de production, des sous-stations électriques et des systèmes de contrôle de processus industriels.

Les convertisseurs NPort de Moxa jouent un rôle architecturalement critique dans les réseaux OT : ils assurent la passerelle entre le monde série hérité (RS-232, RS-422, RS-485, Modbus RTU) et les réseaux Ethernet IP sur lesquels circulent les communications SCADA. Un NPort compromis permet à un attaquant d'intercepter, de modifier ou de rejouer des commandes entre des automates programmables (PLC) Siemens, Schneider Electric ou Rockwell Automation, et leurs systèmes de supervision (SCADA/HMI/DCS). Des attaques historiques telles qu'Industroyer2 ou l'incident Triton ont démontré comment la compromission d'équipements réseau OT précède des sabotages industriels aux conséquences physiques potentiellement graves.

Moxa a publié deux bulletins de sécurité le 16 juin 2026 en réponse à ces vulnérabilités : MPSA-268270 couvrant les séries W2150A-W4/W2250A-W4 et W2150A/W2250A, et MPSA-261910 couvrant la série 6000-G2. Ces bulletins fournissent les firmwares corrigés et les procédures de mise à jour. La procédure standard implique l'accès à l'interface web de gestion Moxa, le téléchargement du firmware via HTTP ou TFTP, puis un redémarrage de l'équipement — une opération requérant une fenêtre de maintenance dans les environnements industriels continus (24h/7j). Le CERT-FR recommande néanmoins d'accélérer ces cycles de maintenance au regard de la criticité des failles.

À ce stade, aucune exploitation active in-the-wild n'a été confirmée pour ces trois CVE. Cependant, la publication simultanée de l'avis CERT-FR et des bulletins Moxa représente un signal susceptible d'accélérer le développement de preuves de concept (PoC) par la communauté de recherche offensive. Pour des vulnérabilités de type stack-based buffer overflow dans des serveurs web embarqués de dispositifs OT, des délais d'apparition d'exploits publics de 7 à 21 jours après divulgation ont été observés historiquement. L'avis CERTFR-2026-AVI-0760 est d'ailleurs le troisième concernant des produits Moxa depuis le début 2026 (après CERTFR-2026-AVI-0016 et CERTFR-2026-AVI-0405), illustrant la pression constante exercée par la recherche en sécurité OT sur cet équipementier.

Impact et exposition

Les équipements NPort affectés sont présents dans des secteurs d'activité critiques : centrales électriques, usines de traitement des eaux, systèmes ferroviaires, lignes de production manufacturière, infrastructures pétrolières et gazières. Des données de sources ouvertes spécialisées en IoT/OT révèlent que plusieurs milliers de convertisseurs Moxa NPort sont directement accessibles depuis Internet, souvent par absence de segmentation réseau ou par configuration de pare-feu inadaptée dans les environnements OT. En France, des opérateurs d'importance vitale (OIV) soumis à la directive NIS2 utilisent ces équipements, ce qui élève le niveau d'urgence de remédiation.

CVE-2026-10825 est particulièrement critique car elle est exploitable à distance sans authentification, sans interaction utilisateur, et sans condition préalable complexe. Les équipements NPort fonctionnent typiquement en continu (24h/7j) sans fenêtres de maintenance planifiées régulières, avec des firmwares anciens rarement mis à jour après l'installation initiale. La compromission d'un NPort donne à l'attaquant le contrôle de la passerelle série-Ethernet, lui permettant d'intercepter ou de modifier les communications entre les automates et les systèmes de supervision, et d'utiliser l'équipement comme pivot pour se déplacer latéralement vers d'autres systèmes OT normalement inaccessibles depuis l'extérieur.

La chaîne CVE-2026-10829 + CVE-2026-10825 constitue un vecteur d'attaque redoutable dans un contexte APT ciblant des OIV. Les organisations qui ne peuvent pas patcher immédiatement (contraintes de disponibilité opérationnelle continue) doivent impérativement isoler les équipements concernés derrière des pare-feu OT avec des règles strictes d'autorisation des flux, en attendant une fenêtre de maintenance pour l'application des correctifs.

Recommandations immédiates

• Mettre à jour le firmware NPort W2150A-W4/W2250A-W4 vers la version v1.5.1 ou supérieure — advisory : Moxa Security Advisory MPSA-268270 du 16 juin 2026
• Mettre à jour le firmware NPort W2150A/W2250A v2.3 avec les derniers correctifs disponibles — advisory : Moxa Security Advisory MPSA-268270
• Mettre à jour le firmware NPort 6000-G2 Series vers la version v1.2.0 ou supérieure — advisory : Moxa Security Advisory MPSA-261910 du 16 juin 2026
• Désactiver l'accès au serveur web de gestion des NPort depuis les réseaux non fiables (pare-feu OT, ACL de commutateurs industriels) en attendant le patch
• Segmenter le réseau OT pour isoler les équipements NPort et limiter les flux aux seuls équipements légitimes (automates, SCADA)
• Inventorier tous les équipements Moxa NPort et vérifier les versions de firmware via la console de gestion ou via SNMP (OID sysDescr : 1.3.6.1.2.1.1.1.0)
• Surveiller les journaux d'accès web des NPort pour détecter des requêtes HTTP anormales ou des tentatives d'exploitation