CVE-2025-55221: Vulnerabilità di Denial of Service non autenticata in Socomec DIRIS Digiware M-70

Socomec DIRIS Digiware M-70 è un misuratore di potenza industriale utilizzato per monitorare le installazioni elettriche all’interno di strutture critiche come data center, impianti di produzione e edifici commerciali. Questi dispositivi sono essenziali per mantenere la visibilità operativa sulla qualità dell’alimentazione, il consumo energetico e la salute complessiva del sistema, influenzando direttamente il tempo di attività e l’efficienza energetica.

Un attaccante non autenticato può innescare da remoto una condizione di denial-of-service, rendendo il dispositivo non responsivo e interrompendo tutte le funzioni di monitoraggio. Questo genera un grave punto cieco operativo, potenzialmente celando guasti elettrici sottostanti o problemi di sicurezza che potrebbero causare interruzioni prolungate del servizio, danni alle apparecchiature o una gestione energetica inefficiente.

Sebbene la CVE-2025-55221 non sia elencata nel catalogo KEV (Known Exploited Vulnerabilities) della CISA, è disponibile un proof-of-concept pubblico. La bassa complessità dell’attacco, combinata con la funzione critica di questi dispositivi, rappresenta un rischio significativo. Qualsiasi dispositivo DIRIS Digiware M-70 con la porta Modbus TCP (502/TCP) esposta a reti non attendibili è considerato altamente vulnerabile.

Prodotto DIRIS Digiware M-70
Data 2025-12-05 00:37:42

Riassunto tecnico

La vulnerabilità è causata da una gestione impropria dei pacchetti malformati all’interno del servizio Modbus TCP in esecuzione sulla porta 502. Lo stack di rete del dispositivo non riesce a convalidare o sanificare correttamente le richieste in ingresso, provocando una condizione di denial-of-service quando viene elaborato un pacchetto appositamente costruito. Questo molto probabilmente genera un’eccezione non gestita o un esaurimento delle risorse che causa il crash del processo principale o lo blocca in un loop infinito.

L’attacco si articola come segue:

  1. Un attaccante non autenticato stabilisce una connessione TCP verso la porta 502 su un dispositivo Socomec DIRIS Digiware M-70 vulnerabile.
  2. L’attaccante invia un singolo pacchetto Modbus TCP appositamente costruito che devia dalla struttura attesa del protocollo.
  3. Il firmware del dispositivo tenta di analizzare questo pacchetto anomalo, innescando una condizione di errore dalla quale non riesce a recuperare.
  4. Il dispositivo diventa completamente non responsivo a qualsiasi ulteriore richiesta di rete, e le sue capacità di monitoraggio dell’alimentazione cessano fino a quando non viene riavviato manualmente.

Versioni interessate:

  • Socomec DIRIS Digiware M-70 firmware versione 1.6.9 e probabilmente versioni precedenti.

È stata rilasciata una patch dal fornitore. Gli utenti dovrebbero consultare gli avvisi ufficiali del produttore per identificare la versione del firmware corretta. Un attaccante non necessita di autenticazione e richiede solo accesso di rete alla porta Modbus TCP per eseguire l’attacco e compromettere le operazioni di monitoraggio energetico critiche.

Raccomandazioni

  • Applicare le patch immediatamente: Le organizzazioni devono identificare immediatamente tutti i dispositivi Socomec DIRIS Digiware M-70 vulnerabili e aggiornarli all’ultima versione stabile del firmware fornita dal produttore.
  • Mitigazioni:
    • Limitare l’accesso di rete al servizio Modbus TCP sulla porta 502. Utilizzare regole firewall rigorose per assicurarsi che solo stazioni di gestione affidabili e sistemi di controllo industriale autorizzati possano comunicare con il dispositivo.
    • Se possibile, implementare la segmentazione di rete per isolare i sistemi ICS (Industrial Control Systems) e OT (Operational Technology) dalle reti aziendali IT e da internet.
  • Ricerca e monitoraggio:
    • Monitorare il traffico di rete alla ricerca di pacchetti Modbus TCP insoliti o malformati destinati alla porta 502.
    • Configurare i sistemi di monitoraggio della rete e i log dei dispositivi per generare allarmi in caso di riavvii imprevisti o periodi di non risposta dei dispositivi DIRIS Digiware M-70.
    • Analizzare i log di firewall e IDS/IPS per rilevare attività di scansione o tentativi di connessione alla porta 502 da indirizzi IP non attendibili.
  • Risposta agli incidenti:
    • Se si sospetta una compromissione o un dispositivo diventa non responsivo, isolarlo immediatamente dalla rete per prevenire ulteriori interruzioni.
    • Conservare i log e le acquisizioni di rete dal momento dell’incidente per facilitare l’analisi forense.
    • Eseguire un riavvio manuale controllato del dispositivo per ripristinare la funzionalità di monitoraggio dopo l’isolamento.
  • Difesa in profondità:
    • Mantenere un inventario completo di tutti i dispositivi OT, comprese le loro versioni firmware, per identificare rapidamente i sistemi vulnerabili.
    • Verificare che le configurazioni dei dispositivi siano regolarmente sottoposte a backup per facilitare un rapido ripristino.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In