受影响的产品:
受影响的产品和固件版本如下。
产品系列 |
受影响版本 |
ioPAC 8500-2-RJ45-IEC-T
ioPAC 8500-2-M12-IEC-T |
固件版本 1.4 或更低版本。 |
ioPAC 8600-CPU30-M12-IEC-T
ioPAC 8600-CPU30-RJ45-IEC-T |
固件版本 1.2 或更低版本。 |
解决方案:
Moxa 已经制定了适当的解决方案来解决这些漏洞。受影响产品的解决方案如下。
产品系列 |
解决方案 |
ioPAC 8500-2-RJ45-IEC-T
ioPAC 8500-2-M12-IEC-T |
对于第 1 和 4 项:
如果用户不使用 ISaGRAF 来配置或编程 ioPAC 8500/8600 系列,那么我们鼓励用户利用内置防火墙阻止从 ioPAC 8500/8600 系列外部访问 TCP 1113 和 TCP 1131 以减轻安全风险。
如果有人使用 ISaGRAF 来配置或编程 ioPAC 8500/8600 系列,那么我们建议按照以下步骤来降低安全风险。
对于首次初始化:
- 通过 ISaGRAF 编程或配置 ioPAC 8500/8600 系列。
- 然后,访问 ioPAC 8500/8600 系列并阻止来自 TCP 1113 端口和 TCP 1131 端口的访问。
- 在 ioPAC 8500/8600 系列上保存防火墙规则设置。
对于定期维护(重新配置):
- 通过安全连接访问 ioPAC 8500/8600 系列。
- 重新打开 TCP 1113 端口和 TCP 1131 端口。
- 通过 ISaGRAF 重新配置 ioPAC 8500/8600 系列。
- 然后,访问 ioPAC 8500/8600 系列并阻止来自 TCP 1113 端口和 TCP 1131 端口的访问。
- 在 ioPAC 8500/8600 系列上保存防火墙规则设置。
以下是防火墙在ioPAC 8500/8600 系列上阻止或重新打开TCP 1113 端口和TCP 1131 端口的说明。(在此处下载)
对于第 2、3 和 4 项:
- 将 ioPAC 8500/8600 系列放在防火墙后面,并与业务网络隔离。
- 安装物理控件,使未经授权的人员无法访问 ioPAC 8500/8600 系列。
|
致谢:
我们要感谢 Kaspersky Lab ICS CERT 公司的 Alexander Nochvay 报告了该漏洞,与我们合作,帮助提高我们产品的安全性,并帮助我们为客户提供更好的服务。
修订记录:
版本 |
说明 |
发布日期 |
1.0 |
首次发布 |
2021 年 12 月 01 日 |