SecurityWeek9月2日報道,臺灣工業(yè)網(wǎng)絡和自動化公司Moxa生產(chǎn)的鐵路和其他類型的無線通信設備受到近60個漏洞的影響。Atos(阿托斯)旗下的網(wǎng)絡安全咨詢公司SEC Consult本周透露,該公司的一名研究人員在Moxa設備上發(fā)現(xiàn)了兩個新的漏洞,以及幾個過時的第三方軟件組件,在這批組件上發(fā)現(xiàn)了數(shù)十個漏洞。
SEC咨詢公司的通告指出,MOXA設備存在多個漏洞。
各種設備的以下固件版本已被確定為易受攻擊:
WAC-2004 / 1.7
WAC-1001 / 2.1
WAC-1001-T / 2.1
OnCell G3470A-LTE-EU / 1.7
OnCell G3470A-LTE-EU-T / 1.7
TAP-323-EU-CT-T / 1.3
TAP-323-US-CT-T / 1.3
TAP-323-JP-CT-T / 1.3
WDR-3124A-EU / 2.3
WDR-3124A-EU-T / 2.3
WDR-3124A-US / 2.3
WDR-3124A-US-T / 2.3
據(jù)百度百科顯示,臺灣moxa科技股份有限公司,大陸通稱摩莎,致力于發(fā)展及制造信息聯(lián)網(wǎng)產(chǎn)品,提供客戶具成本效益且穩(wěn)定性高的串口通信解決方案、串口設備聯(lián)網(wǎng)解決方案、及工業(yè)以太網(wǎng)解決方案。事實,Moxa將大部分的研發(fā)力量均集中在串口設備聯(lián)網(wǎng)及以太網(wǎng)交換的技術上,因為使用以太網(wǎng)作為傳輸主干已成為趨勢。除此之外,Ethernet LAN已在全球普及,即使是非網(wǎng)絡專業(yè)人員也能輕松地設置以太網(wǎng)通訊應用。
摩莎公司中文官網(wǎng)顯示,該公司全系列產(chǎn)品均可在大陸銷售。
據(jù)SEC Consult稱,Moxa設備存在命令注入漏洞(CVE-2021-39279),可被身份驗證的攻擊者利用該漏洞破壞設備的操作系統(tǒng),以及反映跨站腳本漏洞(CVE-2021-39278),可通過特殊制作的配置文件利用該漏洞。
Moxa鐵路設備漏洞該產(chǎn)品還受到超過50個其他漏洞的影響,這些漏洞是在過去十年中發(fā)現(xiàn)的第三方組件,如GNU C庫(glibc), BusyBox中的DHCP客戶端,Dropbear SSH軟件,Linux內(nèi)核和OpenSSL。
Moxa針對這些漏洞發(fā)布了兩份單獨的警告。其中之一描述了對TAP-323、WAC-1001和WAC-2004系列設備的影響,這些設備是為鐵路設計的。TAP-323設備是為列車對地無線通信而設計的軌道旁無線接入點,而WAC設備被描述為軌道無線接入控制器。
Moxa正在為TAP-323和WAC-1001產(chǎn)品提供可用的補丁,但WAC-2004系列設備已經(jīng)停產(chǎn),供應商建議客戶實施緩解措施,以降低被利用的風險。
向Moxa報告這些漏洞的SEC咨詢公司研究員托馬斯?韋伯(Thomas Weber)告訴《安全周刊》(SecurityWeek),雖然他們還沒有進行分析,以確定跨站攻擊和命令注入漏洞是否可以串聯(lián)起來,但他認為這是有可能的。攻擊者需要誘騙經(jīng)過身份驗證的用戶單擊一個鏈接,該鏈接將觸發(fā)XSS以獲得在系統(tǒng)上進行身份驗證所需的信息,并利用命令注入。
如果攻擊者獲得了對受影響設備的web管理界面的訪問權,并且獲得了登錄憑據(jù)(可以通過各種方法獲得登錄憑據(jù)),那么他們就能夠通過持久訪問接管整個設備。
Weber說:“你只需要設備憑證來使用命令注入,然后你就可以訪問內(nèi)部網(wǎng)絡?!?/p>
當被問及對鐵路運營的具體影響時,研究人員表示,黑客可能造成的破壞很難估計,但這取決于“通過該設備發(fā)送的信息的關鍵程度”。
命令注入漏洞可能允許經(jīng)過身份驗證的攻擊者通過永久性地阻塞設備來中斷無線通信。攻擊者也可以簡單地從web界面關閉設備。
Moxa的WDR-3124A系列無線路由器和OnCell的G3470A-LTE系列工業(yè)蜂窩網(wǎng)關也受到了同樣的60個漏洞的影響。供應商已經(jīng)針對這些產(chǎn)品發(fā)布了單獨的建議。只針對蜂窩網(wǎng)關發(fā)布了補丁,但對使用已停產(chǎn)產(chǎn)品的組織提供了緩解措施。
韋伯指出,雖然在大多數(shù)情況下,攻擊需要訪問目標設備所在的網(wǎng)絡,但根據(jù)Shodan的搜索,大約60個受影響的蜂窩網(wǎng)關可能會受到來自互聯(lián)網(wǎng)的攻擊。
該批漏洞再次提醒用戶,第三方組件的漏洞在歷史上是非常普遍的供應鏈問題,未來必須加以重視。此外,一些老舊設備、系統(tǒng),不再受廠商的技術支持,如何管控這類在用的設備必須重點關注。對于這類存量的網(wǎng)絡威脅,堅持基礎的網(wǎng)絡衛(wèi)生是非常必要的。