自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。

產品支援

安全公告

摘要

NPort 5000 系列韌體未適當地驗證完整性檢查漏洞

  • 安全公告編號: MPSA-233328
  • 版本: V1.1
  • 發布日期: 2023年10月20日
  • 參考資料:

所有 NPort 5000 系列韌體版本,均受到未適當地驗證完整性檢查漏洞的影響。此安全漏洞是在更新或升級時未適當地檢查韌體所導致,使得惡意使用者能夠操控韌體並取得設備控制權。

下列為已發現的安全漏洞類型及潛在影響:

項目 安全漏洞類型 影響
1
未適當地驗證完整性檢查值(CWE-354)
CVE-2023-4929 
未經授權的攻擊者可利用此安全漏洞,取得設備的控制權。

 

安全漏洞評分詳情

ID CVSS V3.1 評分 向量 嚴重性 未經身分認證的遠端攻擊?
CVE-2023-4929 6.5 AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H
受影響的產品和解決方案

受影響的產品

下列為受影響的產品和韌體版本。

產品系列 受影響的版本
NPort 5000AI-M12 系列 所有韌體版本。
NPort 5100 系列(NPort 5130/5150 型號) 所有韌體版本。
NPort 5100 系列(NPort 5110 型號) 所有韌體版本。
NPort 5100A 系列 所有韌體版本。
NPort 5200 系列 所有韌體版本。
NPort 5200A 系列 所有韌體版本。
NPort 5410/5430 (版本 3.2 和之後的版本)和 NPort 5450(所有版本) 所有韌體版本。
NPort 5410/5430 (版本 2.x 和更早的版本) 所有韌體版本。
NPort 5600 系列 所有韌體版本。
NPort 5600-DT 系列 所有韌體版本。
NPort IA5000 系列(硬體版本 2.0 和之後的版本) 所有韌體版本。
NPort IA5000 系列(硬體版本 1.x) 所有韌體版本。
NPort IA5000A 系列(NPort IA5450A 系列) 所有韌體版本。
NPort IA5000A 系列(NPort IA5150A/IA5250A 系列) 所有韌體版本。
NPort IA5000A-I/O 系列 所有韌體版本。
NPort IAW5000A-I/O 系列 所有韌體版本。
NPort P5150A 系列 所有韌體版本。

 

緩解措施

受限於設計限制,我們無法修復 NPort 5000 系列的安全漏洞。我們建議使用者遵循 強化指南 中的指示來消除此安全漏洞。此外,請參考以下的緩解措施,以便針對特定產品的安全情境,部署合適的解決方案。

Moxa 建議使用者遵循 CISA 的建議。使用者應

  1. 確保所有控制系統設備和系統,都無法透過 Internet 存取,以減輕網路風險。

  1. 將控制系統網路和遠端設備置於防火牆之後,同時將它們與企業網路隔離開來。

  1. 使用虛擬專用網路(VPN)等安全方法來進行遠端存取。請注意,務必將您的 VPN 更新至最新版本,以避免出現任何安全漏洞。請牢記,VPN 的安全性取決於相連之設備的安全性。

 

致謝

我們要特別感謝伊朗謝里夫理工大學網路設備測試和安全評估實驗室(NETEL)回報這個安全漏洞,並與我們合作以增強我們的產品安全性,讓我們能為客戶提供更優質的服務。

 

修訂紀錄

版本 說明 發布日期
1.0 第一版 2023 年 10 月 3 日
1.1 將受影響的產品章節中之受影響版本更新為「所有韌體版本。」 2023 年 10 月 20 日

相關產品

NPort 5000AI-M12 系列 · NPort 5100 系列 · NPort 5100A 系列 · NPort 5200 系列 · NPort 5200A 系列 · NPort 5400 系列 · NPort 5600 系列 · NPort 5600-DT 系列 · NPort IA5000 系列 · NPort IA5000A 系列 · NPort IA5000A-I/O 系列 · NPort IAW5000A-I/O 系列 · NPort P5150A 系列 ·

提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞
已加入詢價列表