CVE-2025-23417: Vulnerabilità di Denial of Service in Socomec DIRIS Digiware M-70 su Modbus RTU over TCP

Socomec DIRIS Digiware M-70 è un dispositivo ICS (Industrial Control System) specializzato per il monitoraggio e la gestione dell’energia in settori di infrastrutture critiche, tra cui data center, impianti di produzione e strutture industriali. La sua funzione è essenziale per garantire la qualità dell’energia, gestire i consumi energetici e fornire visibilità sui sistemi elettrici, rendendo la sua disponibilità fondamentale per la continuità operativa.

Il rischio principale è un Denial of Service (DoS) non autenticato e ad alto impatto, attivabile da remoto tramite un singolo pacchetto di rete. Questo consente a un attaccante con competenze minime di interrompere capacità di monitoraggio critiche, potenzialmente mascherando gravi guasti elettrici o problemi di qualità dell’alimentazione. Ciò potrebbe condurre a interruzioni operative, aumento dei costi energetici o persino danni agli impianti in ambienti sensibili.

Attualmente non vi sono prove di uno sfruttamento attivo della vulnerabilità. Tuttavia, data la divulgazione pubblica della vulnerabilità e la bassa complessità del vettore d’attacco, ogni dispositivo DIRIS Digiware M-70 con il servizio Modbus esposto a una rete non attendibile è seriamente a rischio di essere preso di mira. Questi sistemi sono spesso trattati come “installati e dimenticati” e potrebbero non essere aggiornati regolarmente, aumentando la loro esposizione.

Prodotto Socomec DIRIS Digiware M-70
Data 2025-12-05 00:27:39

Riassunto tecnico

La vulnerabilità è presente nella gestione dello stack di protocollo Modbus RTU over TCP del dispositivo. La causa principale è un errore nella validazione dell’input, in cui il servizio non riesce a interpretare correttamente un pacchetto di rete appositamente creato. Questo consente a un attaccante di innescare un’eccezione non gestita o uno stato di esaurimento delle risorse nel firmware, causando l’arresto dell’intero dispositivo.

La sequenza dell’attacco è la seguente:

  1. L’attaccante identifica un dispositivo Socomec DIRIS Digiware M-70 sulla rete.
  2. Viene inviato un singolo pacchetto Modbus RTU over TCP malformato al servizio in ascolto del dispositivo.
  3. La logica di parsing del firmware non riesce a gestire i dati anomali presenti nel pacchetto, causando un blocco del sistema o il crash di un processo.
  4. Il dispositivo entra in stato di denial of service, cessando tutte le funzioni di monitoraggio e comunicazione fino a quando non viene riavviato manualmente.

Un attaccante non autenticato con accesso alla rete può causare in modo affidabile una perdita totale di disponibilità del dispositivo target, interrompendo tutte le funzionalità di monitoraggio energetico.

  • Firmware interessato: 1.6.9
  • Firmware corretto: Nessuna patch disponibile al momento dell’avviso. Gli utenti dovrebbero consultare gli avvisi del fornitore per aggiornamenti.

Raccomandazioni

  • Monitorare gli avvisi del fornitore: Poiché non è attualmente disponibile alcuna patch, iscriversi immediatamente agli avvisi di sicurezza Socomec per ricevere notifiche non appena verrà rilasciata una versione corretta del firmware.

  • Segmentazione della rete: Questa è la mitigazione più critica. Limitare l’accesso al servizio Modbus RTU over TCP (tipicamente sulla porta 502) a una rete di gestione dedicata e fidata. Bloccare tutto l’accesso da reti non attendibili, compreso Internet, a livello firewall. Non esporre direttamente dispositivi ICS/OT a Internet.

  • Caccia e monitoraggio:

    • Monitorare i log dei firewall e del traffico di rete per eventuali tentativi di connessione al servizio Modbus da indirizzi IP o subnet non autorizzati.
    • Stabilire una baseline del traffico Modbus normale e generare alert su deviazioni significative o pacchetti malformati.
    • Monitorare lo stato operativo dei dispositivi DIRIS Digiware per riavvii inattesi o periodi di inattività, che potrebbero indicare tentativi di sfruttamento.

  • Risposta agli incidenti:

    • Se un dispositivo diventa non responsivo, isolarne immediatamente il segmento di rete per prevenire ulteriori attacchi o movimenti laterali.
    • Prima del riavvio, catturare il traffico di rete se possibile per favorire l’analisi forense.
    • Dopo il riavvio per ripristinare il servizio, esaminare i log per identificare l’indirizzo IP sorgente dell’attacco e applicare regole di blocco.

  • Difesa in profondità:

    • Applicare liste di controllo degli accessi (ACL) rigorose su switch e router per tutti i segmenti di rete OT.
    • Mantenere backup aggiornati della configurazione per consentire un rapido ripristino se un dispositivo necessita di essere resettato o sostituito.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In