ISGroup Consultoría de Ciberseguridad

CVE-2025-54848: Vulnerabilidad de denegación de servicio (DoS) en Modbus TCP en Socomec DIRIS Digiware M-70

El Socomec DIRIS Digiware M-70 es un componente fundamental para las infraestructuras críticas, utilizado para el monitoreo y la medición avanzada de energía en entornos industriales, centros de datos e instalaciones comerciales. Funciona como una puerta de enlace (gateway) central que agrega datos de múltiples módulos de medición para proporcionar una visión en tiempo real de la calidad y el consumo de energía. Su correcto funcionamiento es esencial para la visibilidad de la TO (tecnología operativa), el mantenimiento preventivo y la gestión de la eficiencia energética.

Una condición de denegación de servicio (DoS) completa puede ser provocada por un atacante remoto no autenticado. Esta vulnerabilidad es particularmente grave, ya que no requiere interacción del usuario ni acceso previo. El riesgo principal afecta a cualquier gateway DIRIS Digiware M-70 con el puerto Modbus TCP (502) expuesto a redes no confiables. Aunque actualmente no hay informes confirmados de explotación activa, existe un método de explotación público y sencillo, lo que aumenta la probabilidad de que actores maliciosos puedan tomarlo como objetivo en el futuro para comprometer el funcionamiento de infraestructuras críticas.

ProductoSocomec DIRIS Digiware M-70
Fecha2025-12-05 12:34:46

Resumen técnico

La vulnerabilidad es causada por un control inadecuado de los accesos a los registros de configuración del sistema, accesibles a través del protocolo Modbus TCP. Un atacante no autenticado puede aprovechar el comando ‘Write Single Register’ (código de función 6) para modificar áreas de memoria específicas que regulan el estado operativo del dispositivo, forzándolo finalmente a un modo inoperativo que persiste hasta un reinicio manual.

La cadena de ataque se desarrolla de la siguiente manera:

  1. El atacante establece una conexión de red con el dispositivo objetivo en el puerto TCP 502.
  2. El atacante envía un paquete Modbus especialmente diseñado con el código de función 6 para escribir un valor específico en el registro 58112.
  3. Se ejecuta una segunda operación de escritura maliciosa en el registro 29440.
  4. Una operación final de escritura en el registro 57856 aplica los cambios de configuración maliciosos, activando la condición de denegación de servicio.

El dispositivo interrumpe inmediatamente sus operaciones normales, incluida la adquisición de datos y la comunicación, volviéndose efectivamente no responsivo. Se recomienda a las organizaciones consultar a Socomec para obtener indicaciones sobre las versiones de firmware vulnerables y las actualizadas.

Recomendaciones

  • Aplicar parches inmediatamente: Contactar al proveedor, Socomec, para obtener e instalar las últimas actualizaciones de firmware en todos los dispositivos DIRIS Digiware M-70.
  • Mitigaciones:
    • Implementar una segmentación de red rigurosa para aislar el gateway M-70 y otros dispositivos TO de la red TI corporativa y de Internet.
    • Utilizar un firewall para limitar el acceso al puerto TCP 502 exclusivamente a direcciones IP confiables y a estaciones de trabajo de ingeniería autorizadas o sistemas SCADA. Denegar todo el tráfico por defecto.

  • Búsqueda y Monitoreo:

    • Monitorear el tráfico de red para detectar cualquier sistema externo o interno no autorizado que intente comunicarse con el DIRIS Digiware M-70 en el puerto TCP 502.
    • Crear reglas de detección en el sistema SIEM o en la solución de monitoreo de red para generar alertas ante la secuencia rápida de solicitudes Modbus ‘Write Single Register’ (código de función 6) dirigidas a los registros 58112, 29440 y 57856.

  • Gestión de incidentes:

    • Si un dispositivo deja de responder, implementar inmediatamente reglas de firewall para bloquear la dirección IP de origen del ataque sospechoso.
    • Aislar el dispositivo afectado de la red para prevenir movimientos laterales o impactos adicionales.
    • Realizar un ciclo de apagado y encendido manual para restablecer el estado operativo del dispositivo y aplicar los parches antes de volver a conectarlo a la red.

  • Defensa en profundidad:

    • Realizar auditorías periódicas de las reglas de firewall y de los controles de acceso a la red para la infraestructura TO crítica.
    • Asegurarse de que existan procedimientos de respaldo y recuperación para los sistemas de monitoreo críticos.

[Callforaction-THREAT-Footer]

In