ISGroup Cybersicherheitsberatung

CVE-2025-54848: Socomec DIRIS Digiware M-70 – Nicht authentifizierte Remote-Denial-of-Service-Schwachstelle

Das Socomec DIRIS Digiware M-70 ist ein industrielles Gateway für die Energieüberwachung, das in kritischen Infrastrukturbereichen wie Rechenzentren, Fertigungsanlagen und Industriebetrieben eingesetzt wird. Diese Geräte bieten wesentliche Einblicke in den Stromverbrauch und die Netzqualität, was für die Betriebsstabilität und Sicherheit von entscheidender Bedeutung ist. Die geschäftliche Kritikalität dieser Geräte ist hoch: Eine Fehlfunktion kann verhindern, dass Betreiber potenziell schädliche Spannungsschwankungen oder Stromausfälle erkennen.

Diese Schwachstelle stellt ein erhebliches Risiko dar, da sie es einem vollständig nicht authentifizierten Angreifer im Netzwerk ermöglicht, das Gerät aus der Ferne unbrauchbar zu machen und einen Denial-of-Service-Zustand (DoS) zu verursachen. Der Angriff ist von geringer Komplexität und erfordert lediglich speziell formatierte Netzwerkpakete. Da ein Proof-of-Concept öffentlich verfügbar ist, ist ein Missbrauch sehr wahrscheinlich.

Jede Organisation, die diese Geräte an unsichere Netzwerke, einschließlich des Internets, angeschlossen hat, ist unmittelbar gefährdet. Die Folgen einer Ausnutzung sind der Verlust der Überwachungsfähigkeit, was zu Betriebsausfällen, Verletzungen von Service-Level-Agreements (SLA) und möglichen Schäden an der Ausrüstung durch unerkannte Stromversorgungsprobleme führen kann. Dies ist ein kritisches Risiko für die Betriebstechnologie (OT), das sofortige Aufmerksamkeit erfordert.

ProduktSocomec DIRIS Digiware M-70
Datum05.12.2025 00:19:58

Technische Zusammenfassung

Die Schwachstelle befindet sich im Modbus-TCP-Dienst, der auf dem TCP-Port 502 des Socomec DIRIS Digiware M-70 läuft. Die Hauptursache ist ein Fehler bei der Zugriffskontrolle während der Verarbeitung spezifischer Modbus-Befehle, der es einem nicht authentifizierten Benutzer ermöglicht, einen kritischen Systemkonfigurationsparameter zu ändern.

Die Angriffskette stellt sich wie folgt dar:

  1. Ein Angreifer baut eine Verbindung zum Modbus-Listener auf dem TCP-Port 502 auf. Es ist keine Authentifizierung erforderlich.
  2. Der Angreifer sendet eine spezifische Sequenz von drei ‘Write Single Register’-Nachrichten (Funktionscode 6).
  3. Diese Nachrichten sind an das Register gerichtet, das die Modbus-Adresse des Geräts selbst steuert. Die Firmware des Geräts prüft nicht, ob diese sensible Konfigurationsänderung von einer autorisierten Quelle stammt.
  4. Nach Annahme der Änderung gerät das Gerät in einen instabilen Zustand, reagiert nicht mehr auf Netzwerkkommunikation und stellt seine Überwachungsfunktionen ein. Ein manueller Neustart (Power Cycle) ist erforderlich, um den Betrieb wiederherzustellen.

Ein nicht authentifizierter Remote-Angreifer kann diese Schwachstelle ausnutzen, um einen dauerhaften Denial-of-Service-Zustand zu verursachen und damit die Energieüberwachungsfunktionen der Zielinfrastruktur effektiv zu deaktivieren.

Betroffene Versionen:

  • Socomec DIRIS Digiware M-70, Firmware-Version 1.6.9 und möglicherweise frühere Versionen.

Eine korrigierte Firmware-Version wurde in der ursprünglichen Meldung nicht spezifiziert. Benutzer sollten sich an den Hersteller wenden, um die neuesten Sicherheitsupdates zu erhalten.

Empfehlungen

  • Sofortiges Patchen: Konsultieren Sie die Sicherheitshinweise des Herstellers Socomec für aktuelle Informationen zu Patches und führen Sie ein Update durch, sobald eine korrigierte Firmware-Version verfügbar ist.
  • Abhilfemaßnahmen:
    • Kritisch: Beschränken Sie den Netzwerkzugriff auf den Modbus-Dienst über den TCP-Port 502. Der Zugriff sollte nur vertrauenswürdigen Hosts innerhalb dedizierter OT- oder Management-Netzwerke gestattet sein.
    • Stellen Sie sicher, dass das Gerät nicht mit dem Internet verbunden ist. Verwenden Sie Firewalls oder Zugriffskontrolllisten (ACLs), um den gesamten eingehenden Datenverkehr auf Port 502 aus externen Netzwerken zu blockieren.
    • Implementieren Sie eine angemessene Netzwerksegmentierung, um industrielle Steuerungssysteme (ICS) und OT-Netzwerke von den IT-Unternehmensnetzwerken zu isolieren.

  • Überwachung und Bedrohungssuche (Threat Hunting):

    • Überwachen Sie Firewall- und Netzwerkprotokolle auf Verbindungsversuche zum TCP-Port 502 von nicht vertrauenswürdigen oder unerwarteten IP-Adressen.
    • Analysieren Sie den Netzwerkverkehr auf ungewöhnliche Muster von Modbus-Befehlen mit dem Funktionscode 6 (‘Write Single Register’), insbesondere auf mehrere sequentielle Anfragen von einer einzelnen Quelle an die betroffenen Geräte.
    • Konfigurieren Sie Warnmeldungen, um zu erkennen, wenn ein DIRIS Digiware M-70-Gerät unerwartet offline geht oder nicht mehr auf Abfragen reagiert.

  • Reaktion auf Vorfälle:

    • Im Falle einer Fehlfunktion des Geräts isolieren Sie es sofort vom Netzwerk, um weitere Interaktionen durch den Angreifer zu verhindern.
    • Führen Sie einen manuellen Neustart (Power Cycle) durch, um den Betriebszustand wiederherzustellen.
    • Bewahren Sie Netzwerkprotokolle auf und analysieren Sie diese, um die Quell-IP-Adresse zu identifizieren, die die schädlichen Modbus-Pakete gesendet hat. Implementieren Sie Blockierregeln für die identifizierte Quelle.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *