CVE-2025-54851: Socomec DIRIS Digiware M-70 Vulnerabilità di Denial of Service Non Autenticata

Il Socomec DIRIS Digiware M-70 è un dispositivo modulare per il monitoraggio dell’energia, frequentemente utilizzato in ambienti di infrastrutture critiche come data center, impianti industriali e strutture commerciali. Questi dispositivi forniscono una visibilità essenziale sulle installazioni elettriche, permettendo agli operatori di gestire la qualità dell’alimentazione, anticipare i guasti e ottimizzare i consumi energetici. La loro funzione è fondamentale per mantenere la stabilità operativa e prevenire costosi tempi di inattività.

Questa vulnerabilità rappresenta un rischio significativo poiché consente a un attaccante non autenticato con accesso alla rete di rendere il dispositivo inoperabile da remoto, causando una perdita completa delle funzionalità di monitoraggio dell’energia. La complessità dell’attacco è bassa e richiede soltanto un singolo pacchetto di rete opportunamente realizzato per attivare la condizione di denial-of-service. Questo può generare una cecità operativa, potenzialmente mascherando guasti elettrici gravi o sovraccarichi che potrebbero causare danni alle apparecchiature o arresti diffusi.

Sebbene la vulnerabilità non sia presente nel catalogo delle Known Exploited Vulnerabilities (KEV) della CISA e non ci siano prove di un suo sfruttamento attivo, la sua semplicità la rende un bersaglio attraente per gli attori delle minacce. Qualsiasi organizzazione che si affidi a questo dispositivo per la gestione dell’alimentazione in ambienti sensibili dovrebbe considerarla una minaccia ad alta priorità, soprattutto per i dispositivi non isolati dalle reti aziendali o esterne.

Prodotto Socomec DIRIS Digiware M-70
Data 2025-12-05 00:20:44

Riassunto tecnico

La vulnerabilità di denial-of-service è dovuta a una validazione impropria dell’input durante l’elaborazione di determinati comandi Modbus. La causa principale sembra essere un difetto nel firmware del dispositivo che non gestisce correttamente una specifica operazione di scrittura, portando a un blocco del sistema o al crash di un processo. Questa vulnerabilità rientra nella categoria CWE-20: Improper Input Validation.

L’attacco si realizza inviando un pacchetto Modbus TCP dannoso all’interfaccia di gestione del dispositivo sulla porta 503. La sequenza tecnica è la seguente:

  1. Un attaccante non autenticato crea una richiesta Modbus TCP “Write Single Register”, che corrisponde al function code 6.
  2. La richiesta è specificamente configurata per puntare al registro 4352.
  3. Il valore da scrivere su questo registro viene impostato a 1.
  4. Al momento della ricezione ed elaborazione di questo singolo pacchetto, il firmware del dispositivo entra in uno stato instabile e smette di funzionare, provocando di fatto un denial-of-service. Il dispositivo diventa non responsivo e non fornisce più dati di monitoraggio fino a un riavvio manuale.

La vulnerabilità è confermata nella versione di firmware 1.6.9. Al momento di questo avviso, non è stata specificata una versione corretta. Un attaccante può sfruttare questa vulnerabilità per interrompere operazioni di monitoraggio critiche, causando un impatto operativo significativo senza necessità di accesso o credenziali.

Raccomandazioni

  • Applicare Patch Immediatamente: Contattare il fornitore, Socomec, per ottenere informazioni sugli aggiornamenti firmware che risolvono questa vulnerabilità. Le organizzazioni dovrebbero pianificare un’implementazione immediata non appena la patch sarà disponibile.
  • Mitigazioni:
    • Limitare l’accesso di rete alla porta Modbus TCP 503 sui dispositivi DIRIS Digiware M-70. L’accesso dovrebbe essere ristretto a una subnet di gestione fidata o a indirizzi IP autorizzati specifici.
    • Implementare una segmentazione di rete rigorosa per isolare le reti di Industrial Control System (ICS) e Operational Technology (OT) dalle reti IT aziendali e da reti esterne.
    • Distribuire firewall o regole di controllo degli accessi in rete per bloccare tutto il traffico in entrata non richiesto verso il dispositivo.
  • Analisi e Monitoraggio:
    • Monitorare il traffico di rete per pacchetti Modbus TCP diretti alla porta 503. In particolare, creare regole di rilevamento per i comandi “Write Single Register” (function code 6) diretti al registro 4352.
    • Implementare il monitoraggio della disponibilità per tutti i dispositivi DIRIS Digiware M-70 per generare avvisi in caso di non risposta o riavvii inattesi.
  • Risposta agli Incidenti:
    • Se un dispositivo risulta non rispondente, isolarlo immediatamente dalla rete per prevenire ulteriori interazioni.
    • Conservare i log di rete e i log del dispositivo (se accessibili) per identificare l’indirizzo IP sorgente che ha inviato il pacchetto dannoso prima di procedere con un riavvio manuale.
  • Difesa Stratificata:
    • Assicurarsi di avere un inventario completo e aggiornato di tutti i dispositivi OT.
    • Riesaminare e applicare regolarmente le politiche di segmentazione della rete tra gli ambienti IT e OT.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In