CVE-2025-54848: Vulnerabilità di Denial of Service su Modbus TCP in Socomec DIRIS Digiware M-70

Il Socomec DIRIS Digiware M-70 è un componente fondamentale per le infrastrutture critiche utilizzato per il monitoraggio e la misurazione avanzati dell’energia in ambienti industriali, data center e strutture commerciali. Funziona come gateway centrale aggregando dati da più moduli di misura per fornire una visione in tempo reale sulla qualità e sul consumo dell’energia. Il suo corretto funzionamento è essenziale per la visibilità dell’OT (tecnologia operativa), la manutenzione preventiva e la gestione dell’efficienza energetica.

Una condizione di denial-of-service completo può essere innescata da un attaccante remoto non autenticato. Questa vulnerabilità è particolarmente grave poiché non richiede interazione dell’utente né accesso preventivo. Il rischio principale riguarda qualsiasi gateway DIRIS Digiware M-70 con la porta Modbus TCP (502) esposta a reti non fidate. Sebbene al momento non vi siano segnalazioni confermate di sfruttamento attivo, esiste una modalità di exploit pubblica e semplice, aumentando la probabilità che attori malevoli possano prenderla di mira in futuro per compromettere il funzionamento di infrastrutture critiche.

Prodotto Socomec DIRIS Digiware M-70
Data 2025-12-05 12:34:46

Riassunto tecnico

La vulnerabilità è causata da un controllo inadeguato degli accessi sui registri di configurazione del sistema accessibili tramite il protocollo Modbus TCP. Un attaccante non autenticato può sfruttare il comando ‘Write Single Register’ (function code 6) per modificare aree di memoria specifiche che regolano lo stato operativo del dispositivo, forzandolo infine in una modalità non funzionante che persiste fino a un riavvio manuale.

La catena d’attacco si sviluppa come segue:

  1. L’attaccante stabilisce una connessione di rete con il dispositivo target sulla porta TCP 502.
  2. L’attaccante invia un pacchetto Modbus appositamente creato con function code 6 per scrivere un valore specifico nel registro 58112.
  3. Una seconda operazione di scrittura malevola viene eseguita sul registro 29440.
  4. Un’operazione finale di scrittura al registro 57856 applica le modifiche di configurazione malevole, innescando la condizione di denial-of-service.

Il dispositivo interrompe immediatamente le operazioni normali, inclusa l’acquisizione dei dati e la comunicazione, diventando di fatto non responsivo. Si raccomanda alle organizzazioni di consultare Socomec per indicazioni sulle versioni firmware vulnerabili e quelle aggiornate.

Raccomandazioni

  • Applicare le patch immediatamente: Contattare il fornitore, Socomec, per ottenere e installare gli ultimi aggiornamenti firmware su tutti i dispositivi DIRIS Digiware M-70.
  • Mitigazioni:
    • Implementare una segmentazione di rete rigorosa per isolare il gateway M-70 e altri dispositivi OT dalla rete IT aziendale e da Internet.
    • Utilizzare un firewall per limitare l’accesso alla porta TCP 502 esclusivamente agli indirizzi IP fidati e alle workstation di ingegneria autorizzate o ai sistemi SCADA. Negare tutto il traffico per impostazione predefinita.
  • Caccia & Monitoraggio:
    • Monitorare il traffico di rete per rilevare eventuali sistemi esterni o interni non autorizzati che tentano di comunicare con il DIRIS Digiware M-70 sulla porta TCP 502.
    • Creare regole di rilevamento nel sistema SIEM o nella soluzione di monitoraggio di rete per generare allarmi sulla sequenza rapida di richieste Modbus ‘Write Single Register’ (function code 6) dirette ai registri 58112, 29440 e 57856.
  • Gestione degli incidenti:
    • Se un dispositivo diventa non responsivo, implementare immediatamente regole firewall per bloccare l’indirizzo IP sorgente dell’attacco sospetto.
    • Isolare il dispositivo colpito dalla rete per prevenire movimenti laterali o ulteriori impatti.
    • Eseguire un ciclo di alimentazione manuale per ripristinare lo stato operativo del dispositivo e applicare le patch prima di riconnetterlo alla rete.
  • Difesa in profondità:
    • Eseguire regolarmente audit delle regole firewall e dei controlli di accesso alla rete per l’infrastruttura OT critica.
    • Assicurarsi che siano in atto procedure di backup e ripristino per i sistemi di monitoraggio critici.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In