CVE-2024-53684: Vulnerabilità Cross-Site Request Forgery in Socomec DIRIS Digiware M-70

Socomec DIRIS Digiware M-70 è un dispositivo modulare per il monitoraggio e la misurazione dell’energia utilizzato in ambienti industriali e commerciali per gestire le prestazioni energetiche e garantire la qualità della rete elettrica. Questi sistemi sono componenti fondamentali della tecnologia operativa (OT), fornendo dati essenziali per la gestione degli impianti, la stabilità della rete elettrica e la sicurezza.

La natura ad alto rischio di questa vulnerabilità deriva dalla possibilità per un attaccante di eseguire azioni non autorizzate con i privilegi di un utente autenticato. Un attaccante potrebbe alterare le configurazioni del dispositivo, interrompere le capacità di monitoraggio o nascondere tracce di altre attività malevole. Ciò compromette l’integrità e l’affidabilità dell’infrastruttura di monitoraggio dell’energia dell’impianto.

Al momento di questo report, non ci sono evidenze di sfruttamento attivo della vulnerabilità in ambienti reali, e non risulta elencata nel catalogo KEV (Known Exploited Vulnerabilities) della CISA. Tuttavia, la disponibilità di un exploit pubblico aumenta la probabilità di attacchi futuri. Qualsiasi organizzazione che utilizza i moduli DIRIS Digiware M-70 interessati dovrebbe considerare questa vulnerabilità un rischio significativo per la continuità operativa.

Prodotto Socomec DIRIS Digiware M-70
Data 2025-12-05 12:23:13

Riassunto tecnico

La vulnerabilità è identificata come CWE-352: Cross-Site Request Forgery (CSRF). La causa principale è l’assenza di meccanismi anti-CSRF adeguati nell’interfaccia web WEBVIEW-M, come ad esempio token univoci per ciascuna sessione. Le richieste che modificano lo stato dell’applicazione non includono un token utente segreto e specifico, permettendo così al server web di processare richieste contraffatte indistinguibili da quelle legittime.

La catena di attacco si svolge come segue:

  1. Un attaccante crea una pagina web malevola che incorpora una richiesta contraffatta rivolta a un’azione sensibile dell’interfaccia web del Digiware M-70 (es. una richiesta POST per modificare un’impostazione).
  2. L’attaccante convince un utente legittimo, autenticato sul dispositivo Digiware M-70, a visitare la pagina malevola. Solitamente ciò avviene tramite tecniche di ingegneria sociale, come un’email di phishing.
  3. Una volta visitata la pagina malevola, il browser della vittima include automaticamente il proprio cookie di sessione attivo nella richiesta inviata al dispositivo Digiware.
  4. L’interfaccia WEBVIEW-M elabora la richiesta come legittima perché accompagnata da un cookie di sessione valido, eseguendo l’azione voluta dall’attaccante con i privilegi della vittima.

Un attaccante può sfruttare questa vulnerabilità per modificare impostazioni critiche, eliminare log o disabilitare allarmi, compromettendo in modo sostanziale la funzionalità del dispositivo.

  • Versione interessata: Firmware versione 1.6.9
  • Versione corretta: Gli utenti devono consultare il fornitore, Socomec, per informazioni sulle versioni aggiornate del firmware.

Raccomandazioni

  • Applicare la patch immediatamente: Contattare Socomec per ottenere e installare l’aggiornamento firmware più recente che corregge la vulnerabilità.
  • Mitigazioni:
    • Imporre una politica rigorosa affinché gli utenti eseguano il logout dall’interfaccia WEBVIEW-M al termine di ogni sessione. Questo invalida il cookie di sessione, rendendo inefficaci gli attacchi CSRF.
    • Implementare la segmentazione di rete per limitare l’accesso all’interfaccia di gestione web del dispositivo. Consentire le connessioni solo da una rete di gestione dedicata o da indirizzi IP specifici e affidabili.
    • Educare gli utenti sui rischi di phishing e ingegneria sociale per evitare che visitino link malevoli mentre sono autenticati ai sistemi critici.
  • Ricerca e monitoraggio:
    • Eseguire regolarmente audit delle configurazioni e delle impostazioni di allarme del dispositivo per individuare modifiche non autorizzate o inattese.
    • Monitorare i log del dispositivo per rilevare modifiche avvenute in orari insoliti o corrispondenti ad attività di navigazione non correlate.
    • Se disponibili, analizzare i log di accesso web per individuare richieste a endpoint sensibili con intestazioni Referer anomale o mancanti, anche se questo metodo non è infallibile.
  • Risposta agli incidenti:
    • In caso di sospetto compromesso, rivedere immediatamente tutte le impostazioni del dispositivo per identificare modifiche non autorizzate. Ripristinare la configurazione del dispositivo da un backup noto e affidabile.
    • Conservare i log del dispositivo per analisi forensi e indagare su eventuali ulteriori segni di compromissione nel segmento di rete.
  • Difesa in profondità:
    • Verificare che gli account utente sul dispositivo aderiscano al principio del minimo privilegio, garantendo solo le autorizzazioni minime necessarie per i rispettivi ruoli.
    • Eseguire regolarmente backup delle configurazioni del dispositivo per consentire un rapido ripristino in caso di incidente di sicurezza.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In