TALOS-2025-2138 Socomec DIRIS Digiware M-70 Modbus RTU over TCP工厂重置拒绝服务漏洞

发布日期：2025年12月1日 CVE编号：CVE-2025-20085

概述 Socomec DIRIS Digiware M-70版本1.6.9的Modbus RTU over TCP功能中存在一个拒绝服务漏洞。特制的网络数据包可导致拒绝服务并削弱凭证安全，使设备应用文档中记录的默认凭证。攻击者可以发送未经身份验证的数据包来触发此漏洞。

已确认的受影响版本 以下版本由Talos测试或验证，或已由供应商确认存在漏洞： Socomec DIRIS Digiware M-70 1.6.9

产品链接 DIRIS Digiware M-70 - https://www.socomec.us/en-us/reference/48290222

CVSSv3评分 7.2 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

CWE CWE-306 - 关键功能缺失身份验证

详情 DIRIS Digiware M-50/M-70网关作为工业电能监控系统的接入点，为电气安装中的设备提供电源和通信连接。它还包含一个名为WEBVIEW-M的Web服务器，用于远程可视化和分析测量数据及能耗。

Socomec M-70具有一项Modbus RTU over TCP服务，由其名为Easy Config System的配置软件使用。攻击者可以使用Modbus RTU over TCP协议发送未经身份验证的数据包，远程将设备恢复出厂设置，从而导致拒绝服务。工厂重置过程的一部分是恢复M-70的WEBVIEW-M Web服务器记录的默认密码。这将使攻击者获得更高的权限，因为他们随后可以使用默认密码访问WEBVIEW-M用户账户。

攻击者可以通过端口503发送Modbus RTU over TCP消息，使用写单个寄存器功能码（6）将特定值229写入寄存器号57856，来触发工厂重置机制。

缓解措施 在WEBVIEW-M中使用"网络安全"用户配置文件，禁用Modbus over Ethernet写操作。此更改将禁用通过ModbusTCP（端口502）和Modbus RTU over TCP（端口503）的写操作。

供应商响应 供应商公告：https://www.socomec.fr/sites/default/files/2025-11/CVE-2025-20085—Diris-Digiware-Webview-_VULNERABILITIES_2025-11-03-09-27-13_English.pdf

时间线 2025年1月28日 - 向供应商披露 2025年11月3日 - 供应商发布补丁 2025年12月1日 - 公开发布

致谢 由思科Talos的Kelly Patterson发现。