ISGroup Cybersicherheitsberatung

CVE-2024-53684: Cross-Site Request Forgery-Schwachstelle in Socomec DIRIS Digiware M-70

Das Socomec DIRIS Digiware M-70 ist ein modulares Gerät zur Energieüberwachung und -messung, das in industriellen und gewerblichen Umgebungen eingesetzt wird, um die Energieeffizienz zu steuern und die Qualität des Stromnetzes sicherzustellen. Diese Systeme sind grundlegende Komponenten der Betriebstechnologie (OT) und liefern wesentliche Daten für das Anlagenmanagement, die Stabilität des Stromnetzes und die Sicherheit.

Das hohe Risiko dieser Schwachstelle ergibt sich aus der Möglichkeit für einen Angreifer, unbefugte Aktionen mit den Privilegien eines authentifizierten Benutzers auszuführen. Ein Angreifer könnte Gerätekonfigurationen ändern, Überwachungsfunktionen unterbrechen oder Spuren anderer böswilliger Aktivitäten verbergen. Dies beeinträchtigt die Integrität und Zuverlässigkeit der Energieüberwachungsinfrastruktur der Anlage.

Zum Zeitpunkt dieses Berichts gibt es keine Hinweise auf eine aktive Ausnutzung der Schwachstelle in realen Umgebungen, und sie ist nicht im KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgeführt. Die Verfügbarkeit eines öffentlichen Exploits erhöht jedoch die Wahrscheinlichkeit zukünftiger Angriffe. Jede Organisation, die die betroffenen DIRIS Digiware M-70-Module verwendet, sollte diese Schwachstelle als erhebliches Risiko für die Betriebskontinuität betrachten.

ProduktSocomec DIRIS Digiware M-70
Datum05.12.2025 12:23:13

Technische Zusammenfassung

Die Schwachstelle wird als CWE-352: Cross-Site Request Forgery (CSRF) identifiziert. Die Hauptursache ist das Fehlen angemessener Anti-CSRF-Mechanismen in der WEBVIEW-M-Weboberfläche, wie beispielsweise eindeutige Token für jede Sitzung. Anfragen, die den Status der Anwendung ändern, enthalten kein geheimes und spezifisches Benutzertoken, wodurch der Webserver gefälschte Anfragen verarbeiten kann, die von legitimen nicht zu unterscheiden sind.

Die Angriffskette läuft wie folgt ab:

  1. Ein Angreifer erstellt eine bösartige Webseite, die eine gefälschte Anfrage an eine sensible Aktion der Digiware M-70-Weboberfläche einbettet (z. B. eine POST-Anfrage zur Änderung einer Einstellung).
  2. Der Angreifer überzeugt einen legitimen Benutzer, der am Digiware M-70-Gerät authentifiziert ist, die bösartige Seite zu besuchen. Dies geschieht normalerweise durch Social-Engineering-Techniken, wie z. B. eine Phishing-E-Mail.
  3. Sobald die bösartige Seite besucht wird, fügt der Browser des Opfers automatisch das eigene aktive Sitzungscookie in die an das Digiware-Gerät gesendete Anfrage ein.
  4. Die WEBVIEW-M-Schnittstelle verarbeitet die Anfrage als legitim, da sie von einem gültigen Sitzungscookie begleitet wird, und führt die vom Angreifer beabsichtigte Aktion mit den Privilegien des Opfers aus.

Ein Angreifer kann diese Schwachstelle ausnutzen, um kritische Einstellungen zu ändern, Protokolle zu löschen oder Alarme zu deaktivieren, wodurch die Funktionalität des Geräts erheblich beeinträchtigt wird.

  • Betroffene Version: Firmware-Version 1.6.9
  • Korrigierte Version: Benutzer sollten sich an den Anbieter, Socomec, wenden, um Informationen zu aktualisierten Firmware-Versionen zu erhalten.

Empfehlungen

  • Patch sofort anwenden: Kontaktieren Sie Socomec, um das neueste Firmware-Update zu erhalten und zu installieren, das die Schwachstelle behebt.
  • Abhilfemaßnahmen:
    • Setzen Sie eine strikte Richtlinie durch, dass Benutzer sich nach jeder Sitzung von der WEBVIEW-M-Schnittstelle abmelden. Dies macht das Sitzungscookie ungültig und macht CSRF-Angriffe wirkungslos.
    • Implementieren Sie eine Netzwerksegmentierung, um den Zugriff auf die Web-Verwaltungsschnittstelle des Geräts zu beschränken. Erlauben Sie Verbindungen nur aus einem dedizierten Verwaltungsnetzwerk oder von spezifischen, vertrauenswürdigen IP-Adressen.
    • Schulen Sie Benutzer hinsichtlich der Risiken von Phishing und Social Engineering, um zu verhindern, dass sie bösartige Links besuchen, während sie bei kritischen Systemen authentifiziert sind.

  • Recherche und Überwachung:

    • Führen Sie regelmäßig Audits der Gerätekonfigurationen und Alarmeinstellungen durch, um unbefugte oder unerwartete Änderungen zu erkennen.
    • Überwachen Sie die Geräteprotokolle, um Änderungen zu erkennen, die zu ungewöhnlichen Zeiten stattgefunden haben oder mit nicht zusammenhängenden Surfaktivitäten korrespondieren.
    • Falls verfügbar, analysieren Sie Web-Zugriffsprotokolle, um Anfragen an sensible Endpunkte mit anomalen oder fehlenden Referer-Headern zu identifizieren, auch wenn diese Methode nicht unfehlbar ist.

  • Reaktion auf Vorfälle:

    • Überprüfen Sie bei Verdacht auf eine Kompromittierung sofort alle Geräteeinstellungen, um unbefugte Änderungen zu identifizieren. Stellen Sie die Gerätekonfiguration aus einem bekannten und vertrauenswürdigen Backup wieder her.
    • Bewahren Sie Geräteprotokolle für forensische Analysen auf und untersuchen Sie das Netzwerksegment auf weitere Anzeichen einer Kompromittierung.

  • Defense-in-Depth:

    • Stellen Sie sicher, dass Benutzerkonten auf dem Gerät dem Prinzip der geringsten Privilegien folgen und nur die für die jeweiligen Rollen erforderlichen Mindestberechtigungen gewähren.
    • Erstellen Sie regelmäßig Backups der Gerätekonfigurationen, um eine schnelle Wiederherstellung im Falle eines Sicherheitsvorfalls zu ermöglichen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *