Moxa ioLogik E2200 系列控制器和 I/O,以及 ioAdmin 配置工具出現了多個產品安全漏洞。針對此問題,Moxa 開發了相關解決方案,以修補這些安全漏洞。
ioLogik E2200 系列的安全漏洞類型和潛在影響如下所示:
項目 |
安全漏洞類型 |
影響 |
1 |
未適當地認證(CWE-285)和使用用戶端認證(CWE-603)
BDU:2021-05548 |
攻擊者可組建特殊的網路套件,以便取得授權資訊,甚至避開身分驗證。 |
2 |
使用寫死的密碼 (CWE-259)
BDU:2021-05549 |
惡意使用者可透過寫死的密碼取得存取權。 |
3 |
不當的存取控制(CWE-284)
BDU:2021-05550 |
不限制或錯誤地限制未經授權的存取。 |
4 |
堆疊型緩衝區溢位(CWE-121)
BDU:2021-05551 |
遠端攻擊者可利用內建網頁伺服器的緩衝區溢位,來發動阻斷服務攻擊(DoS)並執行任意程式碼(RCE)。 |
5 |
未檢查輸入大小即進行緩衝區複製(CWE-120)
BDU:2021-05552 |
遠端攻擊者可利用內建網頁伺服器的緩衝區溢位,來發動阻斷服務攻擊(DoS)。 |
6 |
堆疊型緩衝區溢位 (CWE-121) 和可能的不當授權 (CWE-285)
BDU:2021-05553 |
遠端攻擊者可利用內建網頁伺服器的緩衝區溢位來發動阻斷服務攻擊(DoS)並執行任意程式碼(RCE),甚或避開身分驗證。 |
7 |
堆疊型緩衝區溢位 (CWE-121) 和可能的不當授權 (CWE-285)
BDU:2021-05554 |
遠端攻擊者可利用內建網頁伺服器的緩衝區溢位來發動阻斷服務攻擊(DoS)並執行任意程式碼(RCE),甚或避開身分驗證。 |
8 |
堆疊型緩衝區溢位 (CWE-121) 和可能的不當授權 (CWE-285)
BDU:2021-05555 |
遠端攻擊者可利用內建網頁伺服器的緩衝區溢位來發動阻斷服務攻擊(DoS)並執行任意程式碼(RCE),甚或避開身分驗證。 |
ioAdmin 配置工具的安全漏洞類型和潛在影響如下所示:
項目 |
安全漏洞類型 |
影響 |
9 |
弱密碼要求 (CWE-521)
BDU:2021-05556 |
較弱的密碼要求,使得攻擊者有機會利用暴力破解法存取設備。 |
10 |
未適當地限制身份驗證嘗試次數(CWE-307)
BDU:2021-05557 |
較弱的密碼要求,使得攻擊者有機會利用暴力破解法存取設備。 |
11 |
在記憶體中明文儲存機密資訊 (CWE-316)
BDU:2021-05558 |
攻擊者可使用惡意軟體來取得儲存於設備記憶體中的機密資料。
|