产品支持

安全公告

概述

MB3170/MB3180/MB3270/MB3280/MB3480/MB3660 系列协议网关漏洞

  • 版本: V1.0
  • 发布日期: 2019年9月25日

Moxa MB3170/MB3180/MB3270/MB3280/MB3480/MB3660 系列协议网关中发现一些漏洞。为此,Moxa 制定了相关修复方案。

确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1 基于堆栈的缓冲区溢出 (CWE-121) 有两个不同的问题导致内置 Web 服务器缓冲区溢出,致使远程攻击者能够发起 DoS 攻击并执行任意代码。
2 整数溢出引发缓冲区溢出 (CWE-680) 整数溢出造成内存被意外分配,进而引发缓冲区溢出。
3 使用 token 绕开 CSRF 保护机制 (CWE-352) 可预测的 token 生成机制致使远程攻击者可绕过跨站点请求伪造 (CSRF) 保护机制。
4 使用已破解或存在风险的加密算法 (CWE-327)    使用变量可预测的弱加密算法可能导致敏感信息泄露。
5 信息泄露 (CWE-200) 攻击者可以在未经授权的情况下通过内置 Web 服务访问敏感信息和用户名。
6 明文传输用户信息 (CWE-310) 敏感信息通过某些 Web 应用程序明文传输。
7 密码安全要求低 (CWE-521) 密码安全要求低可能导致攻击者暴力访问。
8 明文存储敏感信息 (CWE-312) 敏感信息以明文方式存储在配置文件中,致使攻击者可以使用管理员帐户。
9 拒绝服务攻击 (CWE-400, CWE-941) 攻击者造成系统过载并导致服务器崩溃,致使 Web 服务暂时停用。
受影响产品与解决方案

受影响的产品

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
MB3170 系列 固件版本 4.0 或更早版本
MB3270 系列 固件版本 4.0 或更早版本
MB3180 系列 固件版本 2.0 或更早版本
MB3280 系列 固件版本 3.0 或更早版本
MB3480 系列 固件版本 3.0 或更早版本
MB3660 系列 固件版本 2.2 或更早版本

 

解决方案

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
MB3170 系列 请在此下载最新固件/软件
MB3270 系列 请在此下载最新固件/软件
MB3180 系列 请在此下载最新固件/软件

针对漏洞 5 和 6,Moxa 建议客户按照以下操作说明,减少潜在风险:
  1. 升级至最新版本固件,禁用 HTTP 和 Telnet 通讯。
  2. 使用 Moxa 工具(MGate Manager、NPort Administration Suite 工具)修改设备配置或远程监控设备状态。
  3. 使用 VPN 隧道,在设备与主机之间建立安全连接并加以保护。
MB3280 系列 请在此下载最新固件/软件
MB3480 系列 请在此下载最新固件/软件
MB3660 系列 请在此下载最新固件/软件

 

鸣谢

感谢 Rostelecom-Solar 公司的 Ilya Karpov 先生和 Evgeniy Druzhinin 先生向 Moxa 报告漏洞,并与我们一起提高 Moxa 产品的安全性,帮助我们为客户提供更好的服务。

 

修订历史

版本 描述 发布日期
1.0 首次发布 2019 年 9 月 25 日

相关产品

MGate MB3170/MB3270 系列 · MGate MB3180/MB3280/MB3480 系列 · MGate MB3660 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹