ISGroup Consultoría de Ciberseguridad

CVE-2025-54851: Vulnerabilidad de Denegación de Servicio No Autenticada en Socomec DIRIS Digiware M-70

El Socomec DIRIS Digiware M-70 es un dispositivo modular para la monitorización de energía, utilizado frecuentemente en entornos de infraestructuras críticas como centros de datos, plantas industriales e instalaciones comerciales. Estos dispositivos proporcionan una visibilidad esencial sobre las instalaciones eléctricas, permitiendo a los operadores gestionar la calidad de la alimentación, anticipar fallos y optimizar los consumos energéticos. Su función es fundamental para mantener la estabilidad operativa y prevenir costosos tiempos de inactividad.

Esta vulnerabilidad representa un riesgo significativo, ya que permite a un atacante no autenticado con acceso a la red dejar el dispositivo inoperable de forma remota, causando una pérdida completa de las funcionalidades de monitorización de energía. La complejidad del ataque es baja y requiere únicamente un solo paquete de red adecuadamente diseñado para activar la condición de denegación de servicio (DoS). Esto puede generar una ceguera operativa, enmascarando potencialmente fallos eléctricos graves o sobrecargas que podrían causar daños a los equipos o apagones generalizados.

Aunque la vulnerabilidad no está presente en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de la CISA y no existen pruebas de su explotación activa, su simplicidad la convierte en un objetivo atractivo para los actores de amenazas. Cualquier organización que dependa de este dispositivo para la gestión de la alimentación en entornos sensibles debería considerarla una amenaza de alta prioridad, especialmente para los dispositivos que no están aislados de las redes corporativas o externas.

ProductoSocomec DIRIS Digiware M-70
Fecha2025-12-05 00:20:44

Resumen técnico

La vulnerabilidad de denegación de servicio se debe a una validación incorrecta de la entrada durante el procesamiento de determinados comandos Modbus. La causa principal parece ser un defecto en el firmware del dispositivo que no gestiona correctamente una operación de escritura específica, provocando un bloqueo del sistema o el fallo de un proceso. Esta vulnerabilidad se clasifica bajo la categoría CWE-20: Improper Input Validation (Validación de entrada incorrecta).

El ataque se realiza enviando un paquete Modbus TCP malicioso a la interfaz de gestión del dispositivo en el puerto 503. La secuencia técnica es la siguiente:

  1. Un atacante no autenticado crea una solicitud Modbus TCP “Write Single Register”, que corresponde al código de función 6.
  2. La solicitud está configurada específicamente para apuntar al registro 4352.
  3. El valor a escribir en este registro se establece en 1.
  4. En el momento de la recepción y procesamiento de este único paquete, el firmware del dispositivo entra en un estado inestable y deja de funcionar, provocando de hecho una denegación de servicio. El dispositivo deja de responder y no proporciona más datos de monitorización hasta un reinicio manual.

La vulnerabilidad está confirmada en la versión de firmware 1.6.9. En el momento de este aviso, no se ha especificado una versión corregida. Un atacante puede explotar esta vulnerabilidad para interrumpir operaciones de monitorización críticas, causando un impacto operativo significativo sin necesidad de acceso o credenciales.

Recomendaciones

  • Aplicar parches inmediatamente: Contactar con el proveedor, Socomec, para obtener información sobre las actualizaciones de firmware que resuelven esta vulnerabilidad. Las organizaciones deben planificar una implementación inmediata tan pronto como el parche esté disponible.
  • Mitigaciones:
    • Limitar el acceso de red al puerto Modbus TCP 503 en los dispositivos DIRIS Digiware M-70. El acceso debe restringirse a una subred de gestión de confianza o a direcciones IP autorizadas específicas.
    • Implementar una segmentación de red rigurosa para aislar las redes de Sistemas de Control Industrial (ICS) y Tecnología Operativa (OT) de las redes IT corporativas y redes externas.
    • Desplegar firewalls o reglas de control de acceso en red para bloquear todo el tráfico entrante no solicitado hacia el dispositivo.

  • Análisis y monitorización:

    • Monitorizar el tráfico de red en busca de paquetes Modbus TCP dirigidos al puerto 503. En particular, crear reglas de detección para los comandos “Write Single Register” (código de función 6) dirigidos al registro 4352.
    • Implementar la monitorización de disponibilidad para todos los dispositivos DIRIS Digiware M-70 para generar alertas en caso de falta de respuesta o reinicios inesperados.

  • Respuesta ante incidentes:

    • Si un dispositivo no responde, aislarlo inmediatamente de la red para prevenir interacciones adicionales.
    • Conservar los registros (logs) de red y los registros del dispositivo (si son accesibles) para identificar la dirección IP de origen que envió el paquete malicioso antes de proceder con un reinicio manual.

  • Defensa en profundidad:

    • Asegurarse de tener un inventario completo y actualizado de todos los dispositivos OT.
    • Revisar y aplicar regularmente las políticas de segmentación de red entre los entornos IT y OT.

[Callforaction-THREAT-Footer]

In