产品支持

安全公告

概述

MGate 5105-MB-EIP 系列协议网关漏洞

  • 版本: V1.1
  • 发布日期: 2020年7月10日
  • 参考:
    • CVE-2020-15494, CVE-2020-15493
    • ZDI-CAN-10791, ZDI-CAN-10792

Moxa MGate 5105-MB-EIP 系列协议网关中发现多个产品漏洞。为此,Moxa 制定了相关修复方案。

确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1 通过捕获-重放获得验证旁路
(CWE-294)
CVE-2020-15494, ZDI-CAN-10791 
利用这一漏洞,攻击者可以获取主机与设备连接的会话 ID。
2 未授权人获取敏感信息
(CEW-200)
CVE-2020-15493, ZDI-CAN-10792 
利用这一漏洞,攻击者可以破解设备的加密配置文件。
受影响产品与解决方案

受影响的产品

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
MGate 5105-MB-EIP 系列 固件版本 4.2 或更早版本

 

解决方案

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
MGate 5105-MB-EIP 系列
  1. 请联系 Moxa 技术支持团队 获取并安装相关安全补丁。
  2. 在 Console 设置中禁用“Moxa Command” 。
  3. 若要启用“Moxa Command”,Moxa 建议启用以下安全功能:
  • A) 启用“应用额外限制”, 避免未经授权的计算机与 MGate 5105-MB-EIP 连接
  • B) 将计算机的 IP 地址加入 IP 允许列表

鸣谢

感谢趋势科技公司 Zero Day Initiative 团队的 Philippe Lin 先生、Marco Balduzzi 先生、Luca Bongiorni 先生、Ryan Flores 先生、Charles Perine 先生和 Rainer Vosseler 先生报告了该漏洞,与我们合力提高产品安全性,并帮助我们为客户提供更好的服务。
 

修订历史

版本 描述 发布日期
1.0 首次发布 2020 年 7 月 10 日
1.1 增加引导用户联系 Moxa 技术支持团队获取相关安全补丁的信息 2020 年 7 月 31 日

相关产品

MGate 5105-MB-EIP 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹