CVE-2025-55222: Vulnerabilità di Denial of Service del Servizio Modbus in Socomec DIRIS Digiware M-70

Il Socomec DIRIS Digiware M-70 è un gateway modulare per sistemi di monitoraggio energetico ed elettrico, spesso impiegato in ambienti critici come data center, impianti industriali e edifici commerciali. Questi dispositivi forniscono una visibilità essenziale sullo stato e sulle prestazioni dell’infrastruttura elettrica.

Una vulnerabilità ad alta gravità consente a un attaccante remoto e non autenticato di innescare un completo denial of service. Un attacco riuscito rende il gateway M-70 non operativo, impedendo agli operatori di accedere ai dati in tempo reale sull’alimentazione e alle funzioni di controllo. Ciò rappresenta un rischio operativo significativo, poiché la perdita di monitoraggio può ritardare la risposta ad eventi critici di alimentazione, con possibilità di danni alle apparecchiature o interruzioni operative.

Qualsiasi organizzazione che utilizza questi dispositivi con il servizio Modbus accessibile sulla porta TCP 503 da reti non affidabili è esposta ad un elevato rischio di interruzione. Sebbene esista un exploit proof-of-concept pubblico, non ci sono attualmente segnalazioni di sfruttamento attivo della vulnerabilità. Questa vulnerabilità non è elencata nel catalogo KEV (Known Exploited Vulnerabilities) di CISA.

Prodotto Socomec DIRIS Digiware M-70
Data 2025-12-05 00:38:27

Riassunto tecnico

La vulnerabilità è presente nei servizi Modbus TCP e Modbus RTU in ascolto sulla porta TCP 503 del gateway Socomec DIRIS Digiware M-70. La causa principale è una gestione impropria di pacchetti Modbus appositamente creati, corrispondente alla CWE-20: Validazione di Input Impropria. Il firmware del dispositivo non riesce a interpretare o validare correttamente alcune richieste malformate.

La catena di attacco è la seguente:

  1. Un attaccante remoto e non autenticato crea un pacchetto Modbus specifico e malformato.
  2. Il pacchetto viene inviato alla porta TCP 503 esposta di un gateway M-70 vulnerabile.
  3. Il servizio Modbus tenta di elaborare il pacchetto non valido, causando un’eccezione non gestita o uno stato di errore che determina l’arresto del servizio o l’esaurimento delle risorse del dispositivo.
  4. Questo provoca un completo denial of service, in cui il gateway interrompe tutte le funzioni di monitoraggio e comunicazione. Il dispositivo diventa non rispondente a tutte le richieste di rete legittime e richiede un ciclo di alimentazione manuale per ripristinarne la funzionalità.

Un attaccante con accesso alla rete sulla porta Modbus può interrompere ripetutamente le funzionalità di monitoraggio critico a proprio piacimento. Gli utenti dovrebbero consultare gli avvisi ufficiali del fornitore per informazioni sui firmware interessati e corretti.

Raccomandazioni

  • Aggiornare Immediatamente: Consultare gli avvisi ufficiali di Socomec per aggiornamenti firmware che risolvono la CVE-2025-55222 e applicarli il prima possibile.

  • Mitigazioni:

    • Limitare l’Accesso alla Rete: Assicurarsi che il gateway DIRIS Digiware M-70 non sia esposto a Internet. Utilizzare firewall o liste di controllo degli accessi (ACL) per limitare rigorosamente l’accesso alla porta TCP 503 solo a stazioni di gestione affidabili e dispositivi autorizzati.
    • Segmentazione di Rete: Isolare le reti dei sistemi di controllo industriale (ICS) e della tecnologia operativa (OT) dalle reti IT aziendali per prevenire accessi non autorizzati e ridurre la superficie di attacco.

  • Hunting & Monitoraggio:

    • Monitorare i log di traffico di rete e del firewall per rilevare tentativi di connessione non autorizzati o attività di scansione dirette alla porta TCP 503 su dispositivi sensibili.
    • Implementare monitoraggio dell’uptime e creare allarmi per reboot imprevisti o periodi di non risposta del gateway M-70, in quanto si tratta di indicatori chiave di un attacco DoS riuscito.

  • Risposta agli Incidenti:

    • Se un dispositivo diventa non rispondente, implementare immediatamente ACL di rete per isolarlo dalla presunta fonte dell’attacco.
    • Conservare i log dei dispositivi di rete a monte per l’analisi forense. Sarà necessario un ciclo manuale di alimentazione del dispositivo per ripristinarne la funzionalità.

  • Difesa in Profondità:

    • Mantenere un inventario completo di tutti gli asset OT e delle relative versioni firmware per garantire l’identificazione rapida dei dispositivi vulnerabili.
    • Eseguire backup regolari delle configurazioni dei dispositivi per consentire un ripristino rapido in caso di incidente.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In