ISGroup Cybersicherheitsberatung

CVE-2024-49572: Denial-of-Service- und Anmeldedaten-Reset-Schwachstelle in Socomec DIRIS Digiware M-70 über Modbus TCP

Socomec DIRIS Digiware M-70 ist ein Gateway- und Energiemonitoring-Gerät, das in kritischen Infrastrukturen wie Rechenzentren, Industrieanlagen und gewerblichen Gebäuden eingesetzt wird. Seine Hauptfunktion besteht darin, Energie- und Leistungsqualitätsdaten von verschiedenen Sensoren zu zentralisieren und zu verwalten, was es zu einer Schlüsselkomponente für die Betriebskontinuität und das Energiemanagement macht.

Das Hauptrisiko dieser Schwachstelle ist zweifach. Erstens kann ein nicht authentifizierter Remote-Angreifer einen Denial-of-Service (DoS)-Zustand auslösen, der die Energiemonitoring-Funktionen unterbricht und verhindern kann, dass Betreiber kritische Systemzustände erkennen. Zweitens, und das ist der kritischere Punkt, setzt der Exploit die Anmeldedaten des Geräts auf die Werkseinstellungen zurück. Diese Aktion schafft faktisch eine persistente Hintertür, die es dem Angreifer ermöglicht, anschließend mit bekannten Standardanmeldedaten unbefugten administrativen Zugriff zu erlangen. Diese Zugriffsebene könnte genutzt werden, um Monitoring-Daten zu manipulieren, laterale Bewegungen zu anderen Systemen im Netzwerk durchzuführen oder physische Prozesse zu unterbrechen.

Diese Schwachstelle ist nicht im KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgeführt, und es gibt keine öffentlichen Berichte über aktive Ausnutzungen. Da jedoch ein öffentlicher Exploit existiert und die Umgebungen, in denen diese Geräte eingesetzt werden, kritisch sind, ist jedes M-70-Gateway, das mit dem Internet verbunden oder schlecht segmentiert ist, einem erheblichen Risiko ausgesetzt.

ProduktSocomec DIRIS Digiware M-70
Datum05.12.2025 00:33:47

Technische Zusammenfassung

Die Schwachstelle liegt in der Implementierung des Modbus TCP-Dienstes auf dem Socomec DIRIS Digiware M-70 Gerät. Die Hauptursache ist eine unsachgemäße Verarbeitung speziell erstellter Netzwerkpakete, die zu einem Pufferüberlauf oder einem ähnlichen Speicherfehler führt. Dies fällt unter die Kategorie CWE-20: Improper Input Validation.

Die Angriffskette läuft wie folgt ab:

  1. Ein nicht authentifizierter Angreifer sendet ein einzelnes, fehlerhaftes Modbus TCP-Paket an Port 502 des Zielgeräts.
  2. Der Modbus-Dienst des Geräts validiert das Paket nicht korrekt, was eine Ausnahme auslöst, die zum Absturz des Dienstes führt, das Gerät nicht mehr reagieren lässt und einen Denial-of-Service (DoS)-Zustand verursacht.
  3. Als Teil der Ausnahmebehandlung oder des Neustartprozesses nach dem Absturz wird die Gerätekonfiguration zurückgesetzt, einschließlich der administrativen Anmeldedaten, die auf die dokumentierten Werkseinstellungen zurückgesetzt werden.
  4. Der Angreifer kann sich nun mit diesen Standardanmeldedaten am Gerät authentifizieren und erhält die volle administrative Kontrolle.

Ein Angreifer mit dieser Zugriffsebene kann Gerätekonfigurationen ändern, Energiemonitoring-Daten manipulieren oder das kompromittierte Gerät als Zugangspunkt nutzen, um weitere Angriffe gegen das OT-Netzwerk (Operational Technology) oder das Unternehmensnetzwerk zu starten. Die spezifischen betroffenen Firmware-Versionen müssen über das offizielle Sicherheitsbulletin des Herstellers bestätigt werden.

Empfehlungen

  • Sofortiges Patching: Kontaktieren Sie Socomec, um die neueste Firmware-Version für das DIRIS Digiware M-70 zu erhalten, und spielen Sie diese so schnell wie möglich auf.
  • Abhilfemaßnahmen:
    • Implementieren Sie eine strikte Netzwerksegmentierung, um industrielle Steuerungssysteme (ICS) und OT-Netzwerke von Unternehmens-IT-Netzwerken und dem Internet zu isolieren.
    • Verwenden Sie eine Firewall, um den Zugriff auf den Modbus TCP-Dienst (Port 502/TCP) nur auf vertrauenswürdige Hosts und autorisierte Managementstationen zu beschränken.
    • Wenn Fernzugriff erforderlich ist, verwenden Sie ein sicheres VPN mit Multi-Faktor-Authentifizierung.

  • Suche & Überwachung:

    • Überwachen Sie den Netzwerkverkehr auf ungewöhnliche oder fehlerhafte Pakete, die an Port 502/TCP auf gefährdeten Geräten gerichtet sind.
    • Überprüfen Sie Authentifizierungsprotokolle auf erfolgreiche Anmeldungen mit Standardanmeldedaten. Jede derartige Aktivität sollte als potenzielle Kompromittierung behandelt werden.
    • Implementieren Sie Netzwerkintrusion-Erkennungssysteme (NIDS) mit Signaturen, die anomalen Modbus TCP-Verkehr identifizieren können.

  • Reaktion auf Vorfälle:

    • Wenn eine Kompromittierung vermutet wird, isolieren Sie das betroffene Gerät sofort vom Netzwerk, um laterale Bewegungen zu verhindern.
    • Sichern Sie Geräteprotokolle und, falls möglich, ein forensisches Abbild, bevor Sie eine als sicher bekannte Konfiguration oder Firmware-Version wiederherstellen.
    • Gehen Sie von einer Verletzung des OT-Netzwerks aus und starten Sie eine umfassendere Suche nach bösartigen Aktivitäten.

  • Defense-in-Depth:

    • Ändern Sie sofort alle Standardanmeldedaten auf ICS-Geräten während der Bereitstellung und Inbetriebnahme.
    • Erstellen Sie regelmäßig Backups der Gerätekonfigurationen, um die Wiederherstellung im Falle destruktiver Ereignisse zu beschleunigen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *