ISGroup Consultoría de Ciberseguridad

CVE-2025-55221: Vulnerabilidad de denegación de servicio (DoS) no autenticada en Socomec DIRIS Digiware M-70

Socomec DIRIS Digiware M-70 es un medidor de potencia industrial utilizado para supervisar instalaciones eléctricas en infraestructuras críticas como centros de datos, plantas de producción y edificios comerciales. Estos dispositivos son esenciales para mantener la visibilidad operativa sobre la calidad de la energía, el consumo eléctrico y la salud general del sistema, influyendo directamente en el tiempo de actividad y la eficiencia energética.

Un atacante no autenticado puede provocar de forma remota una condición de denegación de servicio (DoS), dejando el dispositivo sin respuesta e interrumpiendo todas las funciones de monitorización. Esto genera un grave punto ciego operativo, ocultando potencialmente fallos eléctricos subyacentes o problemas de seguridad que podrían causar interrupciones prolongadas del servicio, daños en los equipos o una gestión energética ineficiente.

Aunque la CVE-2025-55221 no figura en el catálogo KEV (Known Exploited Vulnerabilities) de la CISA, existe una prueba de concepto (PoC) pública. La baja complejidad del ataque, combinada con la función crítica de estos dispositivos, representa un riesgo significativo. Cualquier dispositivo DIRIS Digiware M-70 con el puerto Modbus TCP (502/TCP) expuesto a redes no confiables se considera altamente vulnerable.

ProductoDIRIS Digiware M-70
Fecha2025-12-05 00:37:42

Resumen técnico

La vulnerabilidad es causada por una gestión inadecuada de paquetes malformados dentro del servicio Modbus TCP que se ejecuta en el puerto 502. La pila de red del dispositivo no logra validar o sanear correctamente las solicitudes entrantes, provocando una condición de denegación de servicio cuando se procesa un paquete especialmente diseñado. Esto probablemente genera una excepción no controlada o un agotamiento de recursos que causa el bloqueo del proceso principal o lo deja atrapado en un bucle infinito.

El ataque se articula de la siguiente manera:

  1. Un atacante no autenticado establece una conexión TCP hacia el puerto 502 en un dispositivo Socomec DIRIS Digiware M-70 vulnerable.
  2. El atacante envía un paquete Modbus TCP especialmente diseñado que se desvía de la estructura esperada del protocolo.
  3. El firmware del dispositivo intenta analizar este paquete anómalo, activando una condición de error de la cual no puede recuperarse.
  4. El dispositivo deja de responder por completo a cualquier solicitud de red adicional, y sus capacidades de monitorización de energía cesan hasta que se reinicia manualmente.

Versiones afectadas:

  • Socomec DIRIS Digiware M-70 firmware versión 1.6.9 y probablemente versiones anteriores.

El fabricante ha publicado un parche. Los usuarios deben consultar los avisos oficiales del fabricante para identificar la versión de firmware correcta. Un atacante no necesita autenticación y solo requiere acceso de red al puerto Modbus TCP para ejecutar el ataque y comprometer las operaciones críticas de monitorización energética.

Recomendaciones

  • Aplicar parches inmediatamente: Las organizaciones deben identificar de inmediato todos los dispositivos Socomec DIRIS Digiware M-70 vulnerables y actualizarlos a la última versión estable del firmware proporcionada por el fabricante.
  • Mitigaciones:
    • Limitar el acceso de red al servicio Modbus TCP en el puerto 502. Utilizar reglas de firewall estrictas para garantizar que solo las estaciones de gestión confiables y los sistemas de control industrial autorizados puedan comunicarse con el dispositivo.
    • Si es posible, implementar la segmentación de red para aislar los sistemas ICS (Sistemas de Control Industrial) y OT (Tecnología Operativa) de las redes corporativas de TI y de Internet.

  • Investigación y monitorización:

    • Monitorizar el tráfico de red en busca de paquetes Modbus TCP inusuales o malformados dirigidos al puerto 502.
    • Configurar los sistemas de monitorización de red y los registros (logs) de los dispositivos para generar alarmas en caso de reinicios inesperados o periodos de falta de respuesta de los dispositivos DIRIS Digiware M-70.
    • Analizar los registros de firewall e IDS/IPS para detectar actividades de escaneo o intentos de conexión al puerto 502 desde direcciones IP no confiables.

  • Respuesta ante incidentes:

    • Si se sospecha de un compromiso o un dispositivo deja de responder, aislarlo inmediatamente de la red para evitar interrupciones adicionales.
    • Conservar los registros y las capturas de red del momento del incidente para facilitar el análisis forense.
    • Realizar un reinicio manual controlado del dispositivo para restaurar la funcionalidad de monitorización tras el aislamiento.

  • Defensa en profundidad:

    • Mantener un inventario completo de todos los dispositivos OT, incluidas sus versiones de firmware, para identificar rápidamente los sistemas vulnerables.
    • Verificar que las configuraciones de los dispositivos se respalden regularmente para facilitar una recuperación rápida.

[Callforaction-THREAT-Footer]

In