自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。

產品支援

安全公告

摘要

AWK-3131A/4131A/1131A/1137C 系列無線 AP/橋接器/用戶端安全漏洞

  • 安全公告編號: MPSA-211210
  • 版本: V1.0
  • 發布日期: 2021年12月30日
  • 參考資料:
    • CVE-2021-37752, CVE-2021-37753, CVE-2021-37755, CVE-2021-37757, CVE-2021-37751, CVE-2021-37754, CVE-2021-37756, CVE-2021-37758

Moxa AWK-3131A/4131A/1131A/1137C 系列無線 AP/橋接器/用戶端出現了多個產品安全漏洞。針對此問題,Moxa 開發了相關解決方案,以修補這些安全漏洞。

安全漏洞類型和潛在影響如下所示:

項目 安全漏洞類型 影響
1 認證指令注入(CWE-77)、CVE-2021-37752 遠端攻擊者可透過網頁介面,在設備上執行任意命令。
2 避開身分驗證與未加密憑證
(CWE-303、CWE-256)、CVE-2021-37753、CVE-2021-37755
遠端攻擊者可避開身分驗證機制。
3 未適當地限制存取,因而導致緩衝區溢位
(CWE-119)、CVE-2021-37757
遠端攻擊者可能會導致設備服務中斷。
4 向未經授權的行為者透露機密資訊(CWE-204)、CVE-2021-37751 遠端攻擊者可獲得機密資訊。
5 未適當地限制過多次的認證嘗試
(CWE-307)、CVE-2021-37754
遠端攻擊者可使用暴力破解法來取得憑證。
6 跨站腳本攻擊(XSS)
(CWE-79)、CVE-2021-37756
遠端攻擊者可透過網頁介面,將 HTML 和 JavaScript 植入系統。
7 未適當地驗證韌體
(CWE-347)、CVE-2021-37758
攻擊者可針對設備製作惡意韌體。

 

受影響的產品和解決方案

受影響的產品:

下列為受影響的產品和韌體版本。

產品系列 受影響的版本
AWK-3131A 系列 韌體版本 1.16 或更早的版本。
AWK-4131A 系列 韌體版本 1.16 或更早的版本。
AWK-1131A 系列 韌體版本 1.22 或更早的版本。
AWK-1137C 系列 韌體版本 1.6 或更早的版本。

 

解決方案:

Moxa 已開發了適當的解決方案來修補安全漏洞。下列為受影響產品的解決方案。

產品系列 解決方案
AWK-3131A 系列
AWK-4131A 系列
AWK-1131A 系列
AWK-1137C 系列
針對第 1 項:使用者可停用設備配置中的 HTTP 主控台(console)並啟用 HTTPS。

針對第 2 至 5 項:使用者可停用設備配置中的 Moxa Service 主控台(console)。

針對第 6 項:請升級為最新版的韌體。
針對第 7 項:我們建議使用者到 Moxa.com 或其他可信賴的來源下載韌體。我們還提供 SHA-512 總和檢查碼,方便您檢查韌體完整性。

 

致謝:

我們要特別感謝 Dragos 的 Jake Baines 回報這個安全漏洞,並與我們合作以增強我們的產品安全性,讓我們能為客戶提供更優質的服務。

 

修訂紀錄:

版本 說明 發布日期
1.0 第一版 2021 年 12 月 30 日

相關產品

AWK-1131A 系列 · AWK-1137C 系列 · AWK-3131A 系列 · AWK-4131A 系列 ·

提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞
已加入詢價列表