自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。

產品支援

Security Advisories

摘要

CVE-2024-9404:VPort 07-3 系列發現阻斷服務漏洞

  • 安全公告編號: MPSA-240930
  • 版本: V1.2
  • 發布日期: 2024年12月4日
  • 參考資料:

    CVE-2024-9404 (Moxa)

Moxa IP 攝影機受到中等嚴重程度的 CVE-2024-9404 安全漏洞的影響,可能導致阻斷服務狀況或服務中斷。攻擊者可透過此安全漏洞任意調用 Moxa 服務(通常為 moxa_cmd,最初是為了方便部署而設計的)。因未充分地對輸入進行驗證,這項服務可能被操控,進而觸發阻斷服務(DoS)攻擊。

如果受影響的產品暴露在可公開存取的網路中,此安全漏洞將構成重大遠端威脅。攻擊者可藉由關閉受影響的系統來中斷系統運作。有鑑於此安全風險的嚴重性,我們強烈建議您立即採取行動,防止潛在漏洞被利用。


已確認的安全漏洞類型和潛在影響

項目 安全漏洞類型 影響
1

CWE-1287:未適當地驗證指定的輸入類型(CVE-2024-9404)

此安全漏洞可能導致阻斷服務攻擊或服務中斷。由於未充分地對輸入進行驗證,攻擊者可調用 moxa_cmd 服務來中斷系統運作。如果此安全漏洞暴露在公共網路中,將構成重大的遠端威脅,讓攻擊者能夠關閉受影響的系統。

安全漏洞評分詳情

ID 評分 向量 嚴重性 未經身分驗證的遠端攻擊
CVE-2024-9404 CVSS 4.0: 6.9

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS 3.1: 5.3

AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

受影響的產品和解決方案

受影響的產品

下列為受影響的產品和韌體版本。

產品系列 受影響的版本
VPort 07-3 系列 韌體版本 1.0

 

解決方案:

Moxa 已開發了適當的解決方案來修補安全漏洞。以下列出受影響產品的解決方案。

產品系列 解決方案
VPort 07-3 系列 升級至韌體版本 1.1 或更高的版本

 

緩解措施

  • 嚴禁經由 Internet 存取設備,以便將網路遭受攻擊的風險降到最低。
  • 套用防火牆規則或 TCP wrappers,將 SSH 存取限制設定為,僅允許透過可信任的 IP 位址和網路進行存取。
  • 請部署 IDS 或入侵防禦系統(IPS),以偵測並阻止任何人利用此安全漏洞發動攻擊。這些系統可監視網路流量中是否有攻擊跡象,以提供更進一步的防禦。

 

致謝:

我們要特別感謝 Moxa 網路安全技術團隊的 YU-HSIANG HUANG(huang.yuhsiang.phone@gmail.com)回報這個安全漏洞,並與我們合作以增強我們的產品安全性,讓我們能為客戶提供更優質的服務。

 

修訂紀錄

版本 說明 發布日期
1.0 第一版 2024 年 12 月 4 日
1.1 更正了 CVE-2024-9404 資訊 2025 年 1 月 3 日
1.2 更新了致謝章節 2025 年 2 月 26 日

相關產品

VPort 07-3 系列 ·

提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞
已加入詢價列表