ISGroup Consultoría de Ciberseguridad

CVE-2025-20085: Vulnerabilidad de Denegación de Servicio y Restablecimiento de Credenciales sin Autenticación en Socomec DIRIS Digiware M-70

El Socomec DIRIS Digiware M-70 es un gateway de monitorización de energía utilizado en entornos críticos como centros de datos, plantas industriales y edificios comerciales. Su función principal es proporcionar visibilidad en tiempo real sobre las instalaciones eléctricas, lo que lo convierte en un componente clave para la estabilidad operativa y la gestión energética. Un fallo o una vulneración de este dispositivo puede impedir que los operadores detecten eventos críticos, con el riesgo de daños en los equipos o interrupciones generalizadas.

El riesgo principal es una toma de control completa del dispositivo sin autenticación. Un atacante con acceso a la red puede primero inutilizar el dispositivo, creando una condición de denegación de servicio (DoS) que puede enmascarar acciones posteriores. La vulnerabilidad permite entonces al atacante restablecer las credenciales administrativas a los valores predeterminados de fábrica, obteniendo el control total. Esto es extremadamente grave en redes OT (Tecnología Operativa), donde el dispositivo podría utilizarse como punto de apoyo para ataques más extensos.

Aunque no hay informes confirmados de explotación activa, existe un exploit público disponible, lo que aumenta considerablemente la probabilidad de ataques. Esta vulnerabilidad aún no figura en el catálogo KEV (Known Exploited Vulnerabilities) de CISA. Cualquier organización que utilice este dispositivo con el servicio Modbus expuesto en la red debería considerarlo una amenaza crítica.

ProductoSocomec DIRIS Digiware M-70
Fecha2025-12-05 00:17:49

Resumen técnico

La vulnerabilidad reside en el servicio Modbus RTU over TCP en el dispositivo Socomec DIRIS Digiware M-70. La causa principal es un defecto en la validación de entradas (similar a CWE-20: Improper Input Validation) en el código que analiza los paquetes Modbus. El servicio no gestiona correctamente un paquete especialmente malformado, lo que provoca una corrupción del estado que desencadena un error de sistema.

El ataque se desarrolla en la siguiente secuencia:

  1. Un atacante no autenticado envía un único paquete Modbus especialmente construido al puerto de escucha del dispositivo (típicamente TCP/502).
  2. La pila de red del dispositivo reenvía el paquete al servicio Modbus para su procesamiento. El servicio no logra validar la estructura del paquete, provocando una excepción no controlada.
  3. Esta excepción activa una condición de error que inicia erróneamente una rutina de “restablecimiento de fábrica” como medida de protección. Esta rutina no solo reinicia el dispositivo, causando una Denegación de Servicio, sino que también restablece todas las configuraciones, incluidas las credenciales de usuario, a los valores predeterminados.
  4. Una vez reiniciado, el atacante puede autenticarse con las credenciales administrativas predeterminadas bien conocidas y obtener el control total del dispositivo.

Un atacante puede aprovechar este acceso para manipular los datos de monitorización de energía, desactivar las alarmas o utilizar el dispositivo como punto de acceso persistente para atacar otros sistemas críticos en la red OT. Todas las versiones de firmware anteriores a la corregida se consideran vulnerables. El proveedor ha publicado un aviso de seguridad y actualizaciones de firmware para resolver el problema.

Recomendaciones

  • Parche inmediato: Actualizar el firmware del dispositivo a la versión más reciente lanzada por Socomec que corrige explícitamente la CVE-2025-20085.
  • Mitigaciones:
    • Implementar una segmentación de red rigurosa para aislar las redes OT de las redes IT corporativas y de Internet.
    • Utilizar un firewall o listas de control de acceso (ACL) para limitar el acceso al puerto Modbus TCP (502/TCP) solo a las estaciones de gestión fiables y al personal autorizado.

  • Caza de amenazas y monitorización:

    • Monitorizar los registros (logs) de red en busca de intentos de conexión sospechosos o paquetes malformados dirigidos al puerto Modbus TCP en los dispositivos vulnerables.
    • Verificar los registros del dispositivo en busca de indicadores de compromiso, como reinicios inesperados, cambios en la configuración o entradas de registro que indiquen un restablecimiento de fábrica.
    • Monitorizar activamente cualquier intento de autenticación usando las credenciales de fábrica. Si se detectan, considerarlos como una vulneración confirmada.

  • Respuesta a incidentes:

    • En caso de sospecha de compromiso, aislar inmediatamente el dispositivo afectado de la red para impedir movimientos laterales.
    • Realizar una actualización completa del firmware y restablecer de forma segura todas las credenciales, asegurándose de que las nuevas contraseñas no sean predeterminadas ni fáciles de adivinar.
    • Analizar los registros y los paquetes de tráfico de red para determinar el alcance de la brecha.

  • Defensa en profundidad:

    • Aplicar una política que imponga el cambio de las credenciales predeterminadas en todos los dispositivos habilitados en la red, especialmente en entornos OT, durante el proceso de puesta en servicio inicial.
    • Mantener copias de seguridad regulares de las configuraciones de los dispositivos para permitir una rápida restauración en caso de restablecimiento o compromiso.

[Callforaction-THREAT-Footer]

In