ISGroup Consultoría de Ciberseguridad

CVE-2025-23417: Vulnerabilidad de denegación de servicio en Socomec DIRIS Digiware M-70 sobre Modbus RTU a través de TCP

El Socomec DIRIS Digiware M-70 es un dispositivo ICS (Industrial Control System) especializado en la monitorización y gestión de energía en sectores de infraestructuras críticas, incluyendo centros de datos, plantas de producción e instalaciones industriales. Su función es esencial para garantizar la calidad de la energía, gestionar los consumos energéticos y proporcionar visibilidad sobre los sistemas eléctricos, lo que hace que su disponibilidad sea fundamental para la continuidad operativa.

El riesgo principal es una Denegación de Servicio (DoS) no autenticada y de alto impacto, activable de forma remota mediante un único paquete de red. Esto permite que un atacante con conocimientos mínimos interrumpa capacidades de monitorización críticas, enmascarando potencialmente fallos eléctricos graves o problemas de calidad en el suministro. Esto podría conducir a interrupciones operativas, aumento de los costes energéticos o incluso daños en las instalaciones en entornos sensibles.

Actualmente no hay pruebas de una explotación activa de la vulnerabilidad. Sin embargo, dada la divulgación pública de la vulnerabilidad y la baja complejidad del vector de ataque, cualquier dispositivo DIRIS Digiware M-70 con el servicio Modbus expuesto a una red no confiable corre un riesgo serio de ser atacado. Estos sistemas a menudo se tratan como “instalar y olvidar” y podrían no actualizarse regularmente, lo que aumenta su exposición.

ProductoSocomec DIRIS Digiware M-70
Fecha2025-12-05 00:27:39

Resumen técnico

La vulnerabilidad está presente en la gestión de la pila de protocolos Modbus RTU over TCP del dispositivo. La causa principal es un error en la validación de entrada, donde el servicio no logra interpretar correctamente un paquete de red especialmente diseñado. Esto permite a un atacante activar una excepción no controlada o un estado de agotamiento de recursos en el firmware, provocando el bloqueo total del dispositivo.

La secuencia del ataque es la siguiente:

  1. El atacante identifica un dispositivo Socomec DIRIS Digiware M-70 en la red.
  2. Se envía un único paquete Modbus RTU over TCP malformado al servicio en escucha del dispositivo.
  3. La lógica de análisis (parsing) del firmware no logra gestionar los datos anómalos presentes en el paquete, causando un bloqueo del sistema o el fallo de un proceso.
  4. El dispositivo entra en estado de denegación de servicio, cesando todas las funciones de monitorización y comunicación hasta que se reinicia manualmente.

Un atacante no autenticado con acceso a la red puede causar de forma fiable una pérdida total de disponibilidad del dispositivo objetivo, interrumpiendo todas las funcionalidades de monitorización energética.

  • Firmware afectado: 1.6.9
  • Firmware corregido: No hay parche disponible en el momento del aviso. Los usuarios deben consultar los avisos del fabricante para obtener actualizaciones.

Recomendaciones

  • Monitorizar los avisos del fabricante: Dado que actualmente no hay ningún parche disponible, suscríbase inmediatamente a los avisos de seguridad de Socomec para recibir notificaciones tan pronto como se publique una versión corregida del firmware.

  • Segmentación de red: Esta es la mitigación más crítica. Limite el acceso al servicio Modbus RTU over TCP (típicamente en el puerto 502) a una red de gestión dedicada y confiable. Bloquee todo acceso desde redes no confiables, incluido Internet, a nivel de firewall. No exponga directamente dispositivos ICS/OT a Internet.

  • Caza y monitorización:

    • Monitorice los registros (logs) de los firewalls y el tráfico de red en busca de intentos de conexión al servicio Modbus desde direcciones IP o subredes no autorizadas.
    • Establezca una línea base del tráfico Modbus normal y genere alertas ante desviaciones significativas o paquetes malformados.
    • Monitorice el estado operativo de los dispositivos DIRIS Digiware en busca de reinicios inesperados o periodos de inactividad, que podrían indicar intentos de explotación.

  • Respuesta a incidentes:

    • Si un dispositivo deja de responder, aísle inmediatamente el segmento de red para prevenir ataques adicionales o movimientos laterales.
    • Antes de reiniciar, capture el tráfico de red si es posible para facilitar el análisis forense.
    • Después del reinicio para restaurar el servicio, examine los registros para identificar la dirección IP de origen del ataque y aplique reglas de bloqueo.

  • Defensa en profundidad:

    • Aplique listas de control de acceso (ACL) estrictas en switches y routers para todos los segmentos de red OT.
    • Mantenga copias de seguridad actualizadas de la configuración para permitir una restauración rápida si un dispositivo necesita ser restablecido o reemplazado.

[Callforaction-THREAT-Footer]

In