自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。
登录
首页 支持 安全公告 NPort 6000 系列认证算法执行错误漏洞

产品支持

安全公告

请登录

忘记密码了?
登录
记住密码
非注册用户? 现在注册
概述

NPort 6000 系列认证算法执行错误漏洞

NPort 6000 系列中发现一项安全漏洞,身份验证机制因此易受攻击。

此漏洞由敏感信息保护执行错误导致,恶意用户或可借此在无授权状态下访问 Web 服务。

确定的漏洞类型和潜在影响如下所示:

序号

漏洞类型

影响
1

认证算法执行错误 (CWE-303)

以可恢复格式存储密码 (CWE-257)

采用已破解或有风险的加密算法 (CWE-327)

CVE-2023-5627 
 
 攻击者可获得对 Web 服务的特权访问。

 

漏洞评分信息

ID CVSS V3.1 得分

漏洞载体

严重程度

无需身份验证即可远程利用漏洞?
CVE-2023-5627 7.5  AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 
受影响产品与解决方案

受影响的产品:

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
NPort 6000 系列
固件版本 1.21 及更早版本

 

解决方案:

经妥善修复,固件版本 2.0 及更高版本不受此漏洞影响。

产品系列 解决方案
NPort 6000 系列 请升级至固件 版本 2.0 或更高版本 

 

防护措施:

仍使用版本 1.x 的用户请参照Moxa 官网的 强化指南 完成以下操作:
 
  • 升级至最新固件版本。
  • 禁用 HTTP Console。
 
Moxa 建议用户遵循 CISA 的建议。
 
  • 确保所有控制系统设备和系统无法通过互联网访问来减少网络暴露。 
  • 将控制系统网络和远程设备置于防火墙后,与业务网络隔离。
  • 需要远程访问时,请使用安全方式,例如虚拟专用网络 (VPN)。要注意,VPN 可能存在漏洞,应与最新的可用版本保持同步。VPN 的安全性取决于其连接设备的安全性。
 
 

鸣谢:

感谢 True Anomaly (trueanomaly.space) 公司的 Pasha Kravtsov 和 Nathan Nye 报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。

 

修订历史:

版本 说明 发布日期
1.0 首次发布 2023 年 11 月 1 日

相关产品

NPort 6100/6200 系列 · NPort 6400/6600 系列 ·

  •   打印此页

  • 保存
    您可在 My Moxa 管理和分享已保存列表
相关公告
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞

请勿共享我的个人信息

若选择不向跨场景行为广告共享个人信息,您可以填写并提交下方的表格。


请注意,即使选择填写表格,您仍有可能在其他网站看到我们的广告,但这些广告有可能与您的兴趣无关。

 
 
添加至收藏夹

查看收藏夹