CVE-2024-49572: Vulnerabilità di Denial of Service e Reset delle Credenziali in Socomec DIRIS Digiware M-70 tramite Modbus TCP

Socomec DIRIS Digiware M-70 è un dispositivo gateway e di monitoraggio dell’energia utilizzato in ambienti di infrastrutture critiche come data center, impianti industriali ed edifici commerciali. La sua funzione principale è quella di centralizzare e gestire i dati relativi all’energia e alla qualità della potenza provenienti da vari sensori, rendendolo un componente chiave per la continuità operativa e la gestione energetica.

Il rischio principale di questa vulnerabilità è duplice. In primo luogo, un attaccante remoto non autenticato può innescare una condizione di denial-of-service (DoS), che interrompe le capacità di monitoraggio dell’energia e può impedire agli operatori di rilevare stati critici del sistema. In secondo luogo, e più criticamente, l’exploit reimposta le credenziali del dispositivo ai valori di fabbrica. Questa azione crea di fatto una backdoor persistente, consentendo all’attaccante di ottenere successivamente accesso amministrativo non autorizzato utilizzando credenziali predefinite ben note. Questo livello di accesso potrebbe essere utilizzato per manipolare i dati di monitoraggio dell’energia, effettuare movimenti laterali verso altri sistemi nella rete o interrompere processi fisici.

Questa vulnerabilità non è elencata nel catalogo KEV (Known Exploited Vulnerabilities) di CISA, e non ci sono segnalazioni pubbliche di sfruttamenti attivi in corso. Tuttavia, dato che esiste un exploit pubblico e la natura critica degli ambienti in cui questi dispositivi sono implementati, qualsiasi gateway M-70 esposto a internet o male segmentato è a significativo rischio.

Prodotto Socomec DIRIS Digiware M-70
Data 2025-12-05 00:33:47

Riassunto tecnico

La vulnerabilità risiede all’interno dell’implementazione del servizio Modbus TCP sul dispositivo Socomec DIRIS Digiware M-70. La causa principale è una gestione impropria di pacchetti di rete appositamente creati, che porta a un buffer overflow o a un errore simile di corruzione della memoria. Questo rientra nella categoria CWE-20: Improper Input Validation.

La catena di attacco avviene come segue:

  1. Un attaccante non autenticato invia un singolo pacchetto Modbus TCP malformato alla porta 502 del dispositivo bersaglio.
  2. Il servizio Modbus del dispositivo non valida correttamente il pacchetto, innescando un’eccezione che causa il crash del servizio e rende il dispositivo non responsivo, avviando uno stato di Denial-of-Service (DoS).
  3. Come parte della gestione delle eccezioni o del processo di riavvio successivo al crash, la configurazione del dispositivo viene reimpostata, incluse le credenziali amministrative che tornano ai valori di fabbrica documentati.
  4. L’attaccante può ora autenticarsi al dispositivo utilizzando queste credenziali predefinite, ottenendo il pieno controllo amministrativo.

Un attaccante con questo livello di accesso può alterare le configurazioni del dispositivo, manipolare i dati di monitoraggio dell’energia o utilizzare il dispositivo compromesso come punto d’accesso per lanciare ulteriori attacchi contro la rete OT (Operational Technology) o la rete aziendale. Le versioni specifiche del firmware interessato devono essere confermate tramite il bollettino ufficiale di sicurezza del fornitore.

Raccomandazioni

  • Patch immediata: contattare Socomec per ottenere l’ultima versione del firmware per il DIRIS Digiware M-70 e applicarla il prima possibile.
  • Mitigazioni:
    • Implementare una segmentazione di rete rigorosa per isolare i sistemi di controllo industriale (ICS) e le reti OT dalle reti IT aziendali e da Internet.
    • Utilizzare un firewall per limitare l’accesso al servizio Modbus TCP (porta 502/TCP) solo a host affidabili e stazioni di gestione autorizzate.
    • Se è richiesto l’accesso remoto, utilizzare una VPN sicura con autenticazione a più fattori.
  • Caccia & Monitoraggio:
    • Monitorare il traffico di rete alla ricerca di pacchetti insoliti o malformati diretti alla porta 502/TCP su dispositivi vulnerabili.
    • Controllare i log di autenticazione per accessi riusciti utilizzando credenziali predefinite. Qualsiasi attività del genere deve essere trattata come potenziale compromissione.
    • Implementare sistemi di rilevamento delle intrusioni di rete (NIDS) con firme in grado di identificare traffico anomalo Modbus TCP.
  • Risposta agli incidenti:
    • Se si sospetta una compromissione, isolare immediatamente il dispositivo interessato dalla rete per prevenire movimenti laterali.
    • Conservare i log del dispositivo e, se possibile, un’immagine forense prima di ripristinare una configurazione o versione firmware nota come sicura.
    • Presumere una violazione della rete OT e avviare una ricerca più ampia di attività malevole.
  • Difesa in profondità:
    • Cambiare immediatamente tutte le credenziali predefinite sui dispositivi ICS durante il deployment e la messa in servizio iniziale.
    • Eseguire regolarmente il backup delle configurazioni del dispositivo per velocizzare il recupero in caso di eventi distruttivi.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In