CVE-2025-54848: Socomec DIRIS Digiware M-70 Vulnerabilità di Denial-of-Service Remoto Non Autenticato

Il Socomec DIRIS Digiware M-70 è un gateway industriale per il monitoraggio della potenza, utilizzato in settori di infrastrutture critiche come data center, impianti manifatturieri e stabilimenti industriali. Questi dispositivi forniscono visibilità essenziale sul consumo e sulla qualità dell’energia elettrica, risultando fondamentali per la stabilità operativa e la sicurezza. La criticità aziendale legata a questi dispositivi è elevata: un malfunzionamento può impedire agli operatori di rilevare fluttuazioni o interruzioni potenzialmente dannose dell’alimentazione.

Questa vulnerabilità rappresenta un rischio significativo perché consente a un attaccante completamente non autenticato presente sulla rete di rendere il dispositivo inutilizzabile da remoto, causando una condizione di denial-of-service (DoS). L’attacco è a bassa complessità e richiede solamente pacchetti di rete appositamente formattati, con la disponibilità pubblica di un proof-of-concept, rendendo l’abuso altamente probabile.

Qualsiasi organizzazione con questi dispositivi connessi a reti non affidabili, incluso Internet, è a rischio immediato. Le conseguenze di uno sfruttamento sono la perdita di capacità di monitoraggio, che può causare interruzioni operative, violazioni di accordi sul livello di servizio (SLA) e possibili danni alle apparecchiature a causa di problemi di alimentazione non rilevati. Si tratta di un rischio critico per la tecnologia operativa (OT) che richiede attenzione immediata.

Prodotto Socomec DIRIS Digiware M-70
Data 2025-12-05 00:19:58

Riassunto tecnico

La vulnerabilità è presente nel servizio Modbus TCP in esecuzione sulla porta TCP 502 del dispositivo Socomec DIRIS Digiware M-70. La causa principale è un errore di controllo degli accessi durante la gestione di specifici comandi Modbus, che consente a un utente non autenticato di modificare un parametro critico di configurazione del sistema.

La catena dell’attacco è la seguente:

  1. Un attaccante stabilisce una connessione al listener Modbus sulla porta TCP 502. Non è richiesta alcuna autenticazione.
  2. L’attaccante invia una sequenza specifica di tre messaggi ‘Write Single Register’ (codice funzione 6).
  3. Questi messaggi sono diretti al registro che controlla l’indirizzo Modbus del dispositivo stesso. Il firmware del dispositivo non verifica che questa modifica sensibile alla configurazione provenga da una fonte autorizzata.
  4. Dopo aver accettato la modifica, il dispositivo entra in uno stato instabile, smette di rispondere a qualunque comunicazione di rete e interrompe le sue funzioni di monitoraggio. È necessario un ciclo di alimentazione manuale per ripristinare il funzionamento.

Un attaccante remoto non autenticato può sfruttare questa vulnerabilità per causare uno stato persistente di denial-of-service, disattivando di fatto le funzionalità di monitoraggio dell’energia dell’infrastruttura bersaglio.

Versioni interessate:

  • Socomec DIRIS Digiware M-70, versione firmware 1.6.9 e possibilmente versioni precedenti.

Una versione firmware corretta non è stata specificata nell’avviso iniziale. Gli utenti dovrebbero consultare il fornitore per ottenere gli aggiornamenti di sicurezza più recenti.

Raccomandazioni

  • Applicare patch immediatamente: Consultare gli avvisi di sicurezza del produttore Socomec per le informazioni più recenti sulle patch e aggiornare non appena viene resa disponibile una versione corretta del firmware.
  • Mitigazioni:
    • Critico: Limitare l’accesso di rete al servizio Modbus sulla porta TCP 502. L’accesso dovrebbe essere consentito solo a host affidabili all’interno di reti OT o di gestione dedicate.
    • Verificare che il dispositivo non sia esposto a Internet. Utilizzare firewall o liste di controllo degli accessi (ACL) per bloccare tutto il traffico in entrata sulla porta 502 proveniente da reti esterne.
    • Implementare una segmentazione di rete adeguata per isolare i sistemi di controllo industriale (ICS) e le reti OT dalle reti IT aziendali.
  • Monitoraggio e ricerca delle minacce:
    • Monitorare i log di firewall e rete per tentativi di connessione alla porta TCP 502 da indirizzi IP non affidabili o imprevisti.
    • Analizzare il traffico di rete alla ricerca di modelli insoliti di comandi Modbus codice funzione 6 (‘Write Single Register’), in particolare richieste sequenziali multiple provenienti da una singola fonte dirette ai dispositivi interessati.
    • Configurare alert per rilevare quando un dispositivo DIRIS Digiware M-70 va offline inaspettatamente o smette di rispondere ai polling.
  • Risposta agli incidenti:
    • In caso di malfunzionamento del dispositivo, isolarlo immediatamente dalla rete per impedire ulteriori interazioni da parte dell’attaccante.
    • Eseguire un ciclo di alimentazione manuale per ripristinarne lo stato operativo.
    • Conservare i registri di rete e analizzarli per identificare l’indirizzo IP sorgente che ha inviato i pacchetti Modbus malevoli. Implementare regole di blocco per la fonte identificata.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In