ISGroup Consultoría de Ciberseguridad

CVE-2025-54848: Vulnerabilidad de Denegación de Servicio (DoS) Remota No Autenticada en Socomec DIRIS Digiware M-70

El Socomec DIRIS Digiware M-70 es una puerta de enlace (gateway) industrial para la monitorización de energía, utilizada en sectores de infraestructura crítica como centros de datos, plantas de fabricación e instalaciones industriales. Estos dispositivos proporcionan una visibilidad esencial sobre el consumo y la calidad de la energía eléctrica, resultando fundamentales para la estabilidad operativa y la seguridad. La criticidad empresarial vinculada a estos dispositivos es elevada: un mal funcionamiento puede impedir que los operadores detecten fluctuaciones o interrupciones potencialmente dañinas en el suministro eléctrico.

Esta vulnerabilidad representa un riesgo significativo porque permite que un atacante completamente no autenticado presente en la red deje el dispositivo inutilizable de forma remota, causando una condición de denegación de servicio (DoS). El ataque es de baja complejidad y requiere solamente paquetes de red especialmente formateados, con la disponibilidad pública de una prueba de concepto (proof-of-concept), lo que hace que el abuso sea altamente probable.

Cualquier organización con estos dispositivos conectados a redes no confiables, incluido Internet, está en riesgo inmediato. Las consecuencias de una explotación son la pérdida de capacidad de monitorización, lo que puede causar interrupciones operativas, violaciones de acuerdos de nivel de servicio (SLA) y posibles daños a los equipos debido a problemas de alimentación no detectados. Se trata de un riesgo crítico para la tecnología operativa (OT) que requiere atención inmediata.

ProductoSocomec DIRIS Digiware M-70
Fecha2025-12-05 00:19:58

Resumen técnico

La vulnerabilidad está presente en el servicio Modbus TCP que se ejecuta en el puerto TCP 502 del dispositivo Socomec DIRIS Digiware M-70. La causa principal es un error de control de acceso durante la gestión de comandos Modbus específicos, que permite a un usuario no autenticado modificar un parámetro crítico de configuración del sistema.

La cadena del ataque es la siguiente:

  1. Un atacante establece una conexión al listener Modbus en el puerto TCP 502. No se requiere ninguna autenticación.
  2. El atacante envía una secuencia específica de tres mensajes ‘Write Single Register’ (código de función 6).
  3. Estos mensajes están dirigidos al registro que controla la dirección Modbus del propio dispositivo. El firmware del dispositivo no verifica que esta modificación sensible de la configuración provenga de una fuente autorizada.
  4. Después de aceptar la modificación, el dispositivo entra en un estado inestable, deja de responder a cualquier comunicación de red e interrumpe sus funciones de monitorización. Es necesario un ciclo de alimentación manual para restablecer el funcionamiento.

Un atacante remoto no autenticado puede explotar esta vulnerabilidad para causar un estado persistente de denegación de servicio, desactivando de hecho las funcionalidades de monitorización de energía de la infraestructura objetivo.

Versiones afectadas:

  • Socomec DIRIS Digiware M-70, versión de firmware 1.6.9 y posiblemente versiones anteriores.

No se ha especificado una versión de firmware corregida en el aviso inicial. Los usuarios deben consultar al proveedor para obtener las actualizaciones de seguridad más recientes.

Recomendaciones

  • Aplicar parches inmediatamente: Consulte los avisos de seguridad del fabricante Socomec para obtener la información más reciente sobre parches y actualice tan pronto como esté disponible una versión corregida del firmware.
  • Mitigaciones:
    • Crítico: Limite el acceso de red al servicio Modbus en el puerto TCP 502. El acceso solo debe permitirse a hosts confiables dentro de redes OT o de gestión dedicadas.
    • Verifique que el dispositivo no esté expuesto a Internet. Utilice firewalls o listas de control de acceso (ACL) para bloquear todo el tráfico entrante en el puerto 502 proveniente de redes externas.
    • Implemente una segmentación de red adecuada para aislar los sistemas de control industrial (ICS) y las redes OT de las redes IT corporativas.

  • Monitorización y búsqueda de amenazas:

    • Monitoree los registros de firewalls y red en busca de intentos de conexión al puerto TCP 502 desde direcciones IP no confiables o inesperadas.
    • Analice el tráfico de red en busca de patrones inusuales de comandos Modbus código de función 6 (‘Write Single Register’), en particular solicitudes secuenciales múltiples provenientes de una sola fuente dirigidas a los dispositivos afectados.
    • Configure alertas para detectar cuando un dispositivo DIRIS Digiware M-70 se desconecta inesperadamente o deja de responder a los sondeos (polling).

  • Respuesta a incidentes:

    • En caso de mal funcionamiento del dispositivo, aíslelo inmediatamente de la red para evitar más interacciones por parte del atacante.
    • Realice un ciclo de alimentación manual para restablecer su estado operativo.
    • Conserve los registros de red y analícelos para identificar la dirección IP de origen que envió los paquetes Modbus maliciosos. Implemente reglas de bloqueo para la fuente identificada.

[Callforaction-THREAT-Footer]

In