CVE-2025-26858: Vulnerabilità di Denial of Service per Overflow del Buffer nel Servizio Modbus TCP di Socomec DIRIS Digiware M-70

Il Socomec DIRIS Digiware M-70 è un gateway per il monitoraggio dell’energia elettrica utilizzato in ambiti ad alta criticità, tra cui data center, impianti industriali ed edifici commerciali. La sua funzione principale è fornire visibilità in tempo reale sui sistemi elettrici, abilitando la gestione energetica, il monitoraggio operativo e la rilevazione dei guasti. L’importanza di questo dispositivo è elevata negli ambienti in cui è essenziale garantire continuità operativa e consapevolezza in tempo reale dello stato dei sistemi elettrici.

L’impatto della vulnerabilità consiste in un Denial of Service (DoS) remoto e non autenticato. Un attaccante con accesso alla rete può interrompere le funzionalità di monitoraggio del gateway, rendendo di fatto ciechi gli operatori rispetto allo stato della propria infrastruttura elettrica. Ciò può ostacolare la risposta agli incidenti, nascondere problemi nella qualità dell’alimentazione e interferire con i programmi di efficienza energetica.

Attualmente, questa vulnerabilità non è elencata nel catalogo KEV (Known Exploited Vulnerabilities) di CISA e non vi sono segnalazioni pubbliche di sfruttamento attivo. Tuttavia, l’attacco è considerato semplice da eseguire per un avversario che abbia ottenuto accesso alla rete Operational Technology (OT) nella quale è collocato il dispositivo. I gateway M-70 esposti a internet o non correttamente segmentati sono particolarmente a rischio.

Prodotto Socomec DIRIS Digiware M-70
Data 2025-12-05 00:15:11

Riassunto tecnico

La causa principale della vulnerabilità è una CWE-120: Copia del buffer senza verifica della dimensione dell’input (‘Overflow classico del buffer’) all’interno del firmware del dispositivo durante l’analisi dei pacchetti Modbus TCP. Il servizio in ascolto sulla porta Modbus (tipicamente TCP/502) non verifica correttamente la dimensione dei dati forniti dall’utente prima di copiarli in un buffer a lunghezza fissa allocato nello stack.

La catena dell’attacco è la seguente:

  1. Un attaccante non autenticato stabilisce una connessione di rete con il servizio Modbus TCP sul gateway Socomec DIRIS Digiware M-70.
  2. L’attaccante invia una sequenza di pacchetti appositamente costruita contenente un valore maggiore rispetto alla dimensione prevista dal buffer del servizio.
  3. Il servizio tenta di elaborare questa richiesta malformata, causando una condizione di overflow del buffer.
  4. Questa corruzione della memoria sovrascrive aree adiacenti, portando al crash immediato del servizio Modbus TCP e rendendo il dispositivo non responsivo a ulteriori richieste di monitoraggio.

Un attaccante può ripetutamente sfruttare questa vulnerabilità per creare una condizione persistente di Denial of Service, impedendo agli operatori di monitorare i sistemi elettrici. L’unico modo per ripristinare la funzionalità è eseguire un ciclo di alimentazione manuale del dispositivo. La vulnerabilità interessa il modello Socomec DIRIS Digiware M-70; gli utenti devono consultare il fornitore per ottenere informazioni specifiche sulle versioni del firmware interessate e sulla disponibilità di patch.

Raccomandazioni

  • Applicare immediatamente le patch: Contattare Socomec per ottenere gli ultimi aggiornamenti firmware per il DIRIS Digiware M-70 e applicarli il prima possibile.
  • Mitigazioni: Implementare una segmentazione rigorosa della rete per assicurarsi che il dispositivo non sia esposto a Internet. Limitare l’accesso alla porta Modbus TCP (502) a un insieme ristretto di indirizzi IP attendibili su una rete dedicata di gestione o OT.
  • Attività di monitoraggio: Monitorare i log del firewall e della rete per individuare tentativi di connessione non autorizzati alla porta Modbus TCP sui dispositivi DIRIS Digiware. Indagare su eventuali dispositivi che vadano offline ripetutamente o diventino non responsivi, poiché potrebbe trattarsi di un segnale di compromissione o tentato sfruttamento.
  • Risposta agli incidenti: Qualora si sospetti che un dispositivo sia stato compromesso oppure risultasse non responsivo, isolarlo immediatamente dalla rete per evitare movimenti laterali. Se possibile, conservare i log e lo stato del dispositivo per un’analisi forense prima di riavviare il sistema.
  • Defense-in-Depth: Assicurarsi che tutti i sistemi ICS (Industrial Control Systems) e i dispositivi OT siano collocati su reti correttamente segmentate, protette da firewall e non facenti parte della rete IT aziendale generale. Implementare liste di controllo accessi (ACL) per applicare il principio del minimo privilegio su tutte le comunicazioni di rete.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In