自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。

產品支援

安全公告

摘要

MB3170/MB3180/MB3270/MB3280/MB3480/MB3660 系列協定閘道器安全漏洞

  • 安全公告編號: MPSA-190902
  • 版本: V1.0
  • 發布日期: 2019年9月25日
  • 參考資料:
    • CVE-2019-9099、CVE-2019-9098、CVE-2019-9102、CVE-2019-9095、CVE-2019-9103、CVE-2019-9101、CVE-2019-9096、CVE-2019-9104、CVE-2019-9097

Moxa MB3170/MB3180/MB3270/MB3280/MB3480/MB3660 系列協定閘道器出現了多個產品安全漏洞。針對此問題,Moxa 開發了相關解決方案,以修補這些安全漏洞。

安全漏洞類型和潛在影響如下所示:

項目 安全漏洞類型 影響
1 堆疊緩衝區溢位(CWE-121),CVE-2019-9099 內建的網頁伺服器中有兩個問題會導致緩衝區溢位,使得遠端攻擊者能夠發起 DoS 攻擊並執行任意程式碼。
2 整數溢位會導致緩衝區溢位(CWE-680),CVE-2019-9098 整數溢位會導致非預期的記憶體分配,進而導致緩衝區溢位。
3 使用權杖繞過 CSRF 保護機制(CWE-352),CVE-2019-9102 利用可預測的權杖(token)產生機制,遠端攻擊者可繞過跨站請求偽造(CSRF)保護機制。
4 使用無效或有風險的加密演算法(CWE-327),CVE-2019-9095 藉由使用具有可預測變數的弱加密演算法,可揭露機密資訊。
5 資訊公開(CWE-200),CVE-2019-9103 攻擊者可在未經適當授權的情況下,透過內建的網路服務存取機密資訊和使用者名稱。
6 使用者憑證以明文發送(CWE-310),CVE-2019-9101 機密資訊會透過網路應用程式以明文形式傳送。
7 弱密碼要求(CWE-521),CVE-2019-9096 弱密碼要求使得攻擊者能夠使用暴力破解以進行存取。
8 明文儲存機密資訊(CWE-312),CVE-2019-9104 機密資訊會以明文形式儲存在配置檔中,讓攻擊者能夠使用管理者帳號。
9 阻斷服務攻擊(CWE-400、CWE-941),CVE-2019-9097 由於攻擊者造成系統過載,導致服務中斷,使得該網路服務暫時無法使用。
受影響的產品和解決方案

受影響的產品:

下列為受影響的產品和韌體版本。

產品系列 受影響的版本
MB3170 系列 韌體版本 4.0 或更早的版本
MB3270 系列 韌體版本 4.0 或更早的版本
MB3180 系列 韌體版本 2.0 或更早的版本
MB3280 系列 韌體版本 3.0 或更早的版本
MB3480 系列 韌體版本 3.0 或更早的版本
MB3660 系列 韌體版本 2.2 或更早的版本

 

解決方案:

Moxa 已開發了適當的解決方案來修補安全漏洞。下列為受影響產品的解決方案。

產品系列 解決方案
MB3170 系列 請下載新版韌體/軟體
MB3270 系列 請下載新版韌體/軟體
MB3180 系列 請下載新版韌體/軟體

針對安全漏洞 5 和 7,Moxa 建議客戶遵循以下指示來減輕潛在風險:
  1. 升級至最新版韌體,並關閉 HTTP 和 Telnet 通訊功能。
  2. 使用 Moxa 工具程式(MGate Manager、NPort Administration Suite Utility)從遠端變更設備配置或監控設備狀態。
  3. 您可使用 VPN 通道,在設備與 PC 之間建立安全而受保護的連結。
MB3280 系列 請下載新版韌體/軟體
MB3480 系列 請下載新版韌體/軟體
MB3660 系列 請下載新版韌體/軟體

 

致謝:

我們要特別感謝 Rostelecom-Solar 的 Ilya Karpov 和 Evgeniy Druzhinin,以及 Positive Technologies 的 Maxim Kozhevnikov 回報這個安全漏洞,並與我們合作以增強我們的產品安全性,讓我們能為客戶提供更優質的服務。

 

修訂紀錄:

版本 說明 發布日期
1.0 第一版 2019 年 9 月 25 日

相關產品

MGate MB3170/MB3270 系列 · MGate MB3180/MB3280/MB3480 系列 · MGate MB3660 系列 ·

提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞
已加入詢價列表