CVE-2025-20085: Vulnerabilità di Denial of Service e Reimpostazione delle Credenziali Senza Autenticazione in Socomec DIRIS Digiware M-70

Il Socomec DIRIS Digiware M-70 è un gateway di monitoraggio dell’energia utilizzato in ambienti critici come data center, impianti industriali ed edifici commerciali. La sua funzione principale è fornire visibilità in tempo reale sugli impianti elettrici, rendendolo un componente chiave per la stabilità operativa e la gestione energetica. Un guasto o una compromissione di questo dispositivo può impedire agli operatori di rilevare eventi critici, con il rischio di danni alle apparecchiature o interruzioni diffuse.

Il rischio principale è una completa presa di controllo del dispositivo senza autenticazione. Un attaccante con accesso alla rete può prima rendere il dispositivo inutilizzabile, creando una condizione di denial of service che può mascherare azioni successive. La vulnerabilità consente quindi all’attaccante di reimpostare le credenziali amministrative ai valori predefiniti di fabbrica, ottenendo il pieno controllo. Questo è estremamente grave nelle reti OT (Operational Technology), dove il dispositivo potrebbe essere utilizzato come punto di appoggio per attacchi più estesi.

Anche se non ci sono segnalazioni confermate di sfruttamento attivo, esiste un exploit pubblico disponibile, aumentando notevolmente la probabilità di attacchi. Questa vulnerabilità non è ancora elencata nel catalogo KEV (Known Exploited Vulnerabilities) di CISA. Qualsiasi organizzazione che utilizza questo dispositivo con il servizio Modbus esposto in rete dovrebbe considerarlo una minaccia critica.

Prodotto Socomec DIRIS Digiware M-70
Data 2025-12-05 00:17:49

Riassunto tecnico

La vulnerabilità risiede nel servizio Modbus RTU over TCP sul dispositivo Socomec DIRIS Digiware M-70. La causa principale è un difetto nella convalida degli input (simile a CWE-20: Improper Input Validation) nel codice che analizza i pacchetti Modbus. Il servizio non gestisce correttamente un pacchetto appositamente malformato, causando una corruzione dello stato che innesca un errore di sistema.

L’attacco si sviluppa nella seguente sequenza:

  1. Un attaccante non autenticato invia un singolo pacchetto Modbus appositamente costruito alla porta di ascolto del dispositivo (tipicamente TCP/502).
  2. Lo stack di rete del dispositivo inoltra il pacchetto al servizio Modbus per l’elaborazione. Il servizio non riesce a validare la struttura del pacchetto, provocando un’eccezione non gestita.
  3. Questa eccezione attiva una condizione di errore che avvia erroneamente una routine di “reset di fabbrica” come misura di protezione. Questa routine non solo riavvia il dispositivo, causando un Denial of Service, ma ripristina anche tutte le configurazioni, incluse le credenziali utente, ai valori predefiniti.
  4. Una volta riavviato, l’attaccante può autenticarsi con le credenziali amministrative predefinite ben note e ottenere il pieno controllo del dispositivo.

Un attaccante può sfruttare questo accesso per manipolare i dati di monitoraggio dell’energia, disattivare gli allarmi o utilizzare il dispositivo come punto di accesso persistente per attaccare altri sistemi critici nella rete OT. Tutte le versioni firmware precedenti a quella corretta sono considerate vulnerabili. Il fornitore ha pubblicato un avviso di sicurezza e aggiornamenti firmware per risolvere il problema.

Raccomandazioni

  • Patch immediata: Aggiornare il firmware del dispositivo alla versione più recente rilasciata da Socomec che corregge esplicitamente la CVE-2025-20085.
  • Mitigazioni:
    • Implementare una segmentazione di rete rigorosa per isolare le reti OT dalle reti IT aziendali e da Internet.
    • Utilizzare un firewall o liste di controllo accessi (ACL) per limitare l’accesso alla porta Modbus TCP (502/TCP) solo alle stazioni di gestione affidabili e al personale autorizzato.
  • Caccia alle minacce e monitoraggio:
    • Monitorare i log di rete per tentativi di connessione sospetti o pacchetti malformati diretti alla porta Modbus TCP sui dispositivi vulnerabili.
    • Verificare i log del dispositivo per indicatori di compromissione, come riavvii imprevisti, modifiche alla configurazione o voci di log che indicano un reset di fabbrica.
    • Monitorare attivamente eventuali tentativi di autenticazione usando le credenziali di fabbrica. Se rilevati, considerarli come compromissione confermata.
  • Risposta agli incidenti:
    • In caso di sospetta compromissione, isolare immediatamente il dispositivo interessato dalla rete per impedire movimenti laterali.
    • Effettuare un aggiornamento completo del firmware e reimpostare in modo sicuro tutte le credenziali, assicurandosi che le nuove password non siano predefinite né facilmente indovinabili.
    • Analizzare i log e i pacchetti di traffico di rete per determinare l’estensione della violazione.
  • Difesa in profondità:
    • Applicare una policy che imponga la modifica delle credenziali predefinite su tutti i dispositivi abilitati in rete, in particolare negli ambienti OT, durante il processo di messa in servizio iniziale.
    • Mantenere backup regolari delle configurazioni dei dispositivi per permettere un rapido ripristino in caso di reset o compromissione.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In