自 2022 年 6 月 15 日起,本網站不再支援 Internet Explorer。 請使用其他瀏覽器瀏覽我們的網站,以獲得最佳的瀏覽體驗。

產品支援

安全公告

摘要

行動通訊路由器、安全路由器和網路安全設備中發現關鍵功能缺乏身份驗證和 OS 指令注入漏洞

Moxa 行動通訊路由器、安全路由器和網路安全設備受到兩個嚴重安全漏洞的影響,可能導致未經授權的存取和系統入侵事件。第一個漏洞 CVE-2024-9137 允許攻擊者利用該漏洞,在未經認證情況下操控設備配置。第二個漏洞 CVE-2024-9139 允許透過因未適當限制的指令而導致 OS 指令注入,攻擊者可藉此執行任意程式碼。這些安全漏洞會帶來重大的安全風險,強烈建議您立即採取行動,以防止潛在的攻擊。


已確認的安全漏洞類型和潛在影響

項目 安全漏洞類型 影響
1

CWE-306:缺乏對關鍵功能進行認證

(CVE-2024-9137)

受影響的產品在透過 Moxa 服務向伺服器傳送指令時,未進行認證檢查。攻擊者可利用此安全漏洞執行特殊指令,以便下載或上傳未經授權的配置檔,進而危及系統安全。
2

CWE-78:未適當地中和 OS 指令中使用的特殊字元 (OS 指令注入)

(CVE-2024-9139)

受影響的產品允許透過因未適當限制的指令而導致 OS 指令注入,攻擊者可藉此執行任意程式碼。

安全漏洞評分詳情

ID 評分 向量 未經認證的遠端攻擊
CVE-2024-9137 CVSS 3.1: 9.4 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H
CVSS 4.0: 8.8 AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N
CVE-2024-9139 CVSS 3.1: 7.2 AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVSS 4.0: 8.6 AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
受影響的產品和解決方案

受 CVE-2024-9137 影響的產品

下列為受影響的產品和韌體版本。

產品系列 受影響的版本
EDR-8010 系列 韌體版本 3.12.1 和更早的版本
EDR-G9004 系列 韌體版本 3.12.1 和更早的版本
EDR-G9010 系列 韌體版本 3.12.1 和更早的版本
EDR-G1002-BP 系列 韌體版本 3.12.1 和更早的版本
NAT-102 系列 韌體版本 1.0.5 和更早的版本
OnCell G4302-LTE4 系列 韌體版本 3.9 和更早的版本
TN-4900 系列 韌體版本 3.6 和更早的版本

 

受 CVE-2024-9139 影響的產品

下列為受影響的產品和韌體版本。

產品系列 受影響的版本
EDR-8010 系列 韌體版本 3.12.1 和更早的版本
EDR-G9004 系列 韌體版本 3.12.1 和更早的版本
EDR-G9010 系列 韌體版本 3.12.1 和更早的版本
EDF-G1002-BP 系列 韌體版本 3.12.1 和更早的版本
NAT-102 系列 韌體版本 1.0.5 和更早的版本
OnCell G4302-LTE4 系列 韌體版本 3.9 和更早的版本
TN-4900 系列 韌體版本 3.6 和更早的版本
EDR-810 系列 韌體版本 5.12.33 和更早的版本

 

解決方案

Moxa 已開發了適當的解決方案來修補安全漏洞。以下列出受影響產品的解決方案。

產品系列 解決方案
EDR-8010 系列 升級至韌體版本 3.13
EDR-G9004 系列 升級至韌體版本 3.13
EDR-G9010 系列 升級至韌體版本 3.13
EDF-G1002-BP 系列 升級至韌體版本 3.13
NAT-102 系列 請聯絡Moxa 技術支援團隊,以索取安全修補程式。
OnCell G4302-LTE4 系列 升級至韌體版本 3.13
TN-4900 系列 升級至韌體版本 3.13
EDR-810 系列 升級至韌體版本 5.12.37

 

緩解措施

  • 欲將網路遭受攻擊的風險降到最低,請確保使用者無法經由 Internet 存取設備。
  • 套用防火牆規則或 TCP wrappers,將網頁存取限制設定為,僅允許透過可信任的 IP 位址和網路進行存取。
  • 部署 IDS 或入侵防禦系統(IPS),以偵測並阻止任何人利用此安全漏洞發動攻擊。這些系統可監控網路流量中的攻擊跡象,以提供額外的防禦。

 

致謝

我們要特別感謝 Lars Hailing 回報這個安全漏洞,並與我們合作以增強我們的產品安全性,讓我們能為客戶提供更優質的服務。

 

修訂紀錄

版本 說明 發布日期
1.0 第一版 2024 年 10 月 14 日
1.1 新增致謝內容。緩解措施內容已更新,以反映最新的建議。 2024 年 10 月 15 日
1.2 新增受影響產品的解決方案,EDR-810 系列。 2024 年 10 月 25 日
1.3 新增受影響產品的解決方案,NAT-102 系列。 2024 年 11 月 22 日

相關產品

EDF-G1002-BP 系列 · EDR-8010 系列 · EDR-810 系列 · EDR-G9004 系列 · EDR-G9010 系列 · NAT-102 系列 · OnCell G4302-LTE4 系列 · TN-4900 系列 ·

提報安全問題

如果擔心 Moxa 產品有潛在的安全漏洞,請立即通知我們,我們將盡快協助您釐清問題。

回報安全漏洞
已加入詢價列表