自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。

产品支持

安全公告

概述

蜂窝路由器、安全路由器及网络安全设备存在提权和 OS 命令注入漏洞

Moxa 蜂窝路由器、安全路由器及网络安全设备存在两个关键漏洞,可能造成重大安全风险。

  • CVE-2024-9138: 此漏洞涉及硬编码凭证,可能导致经授权的用户提升权限,获得对系统的根级访问权。
  • CVE-2024-9140: 攻击者可通过该漏洞利用特殊字符绕过输入限制,可能导致未经授权的命令执行。

强烈建议立即采取措施,防止利用漏洞的情况发生,降低安全风险。

确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1

CWE-656: 依赖于隐蔽性安全 (CVE-2024-9138)

经授权的用户可利用硬编码凭证获得根级访问权限,导致系统受损、未授权修改、数据泄露或服务中断。
2 CWE-78: 未正确中和 OS 命令中使用的特殊元素(“OS 命令注入”) (CVE-2024-9140) 受影响的产品允许通过未适当限制的命令进行 OS 命令注入,从而使攻击者有可能执行任意代码。

漏洞评分信息

ID 基础得分 漏洞载体 严重程度 是否无需身份验证即可远程利用漏洞
CVE-2024-9138 CVSS 3.1: 7.2

AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

 

CVSS 4.0: 8.6

AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

 

CVE-2024-9140 CVSS 3.1: 9.8

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

严重
CVSS 4.0: 9.3

AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

说明:本公告用 CVSS 3.1 作为衡量严重程度的标准,CVSS 4.0 则用作参考指标,供比较。

受影响产品与解决方案

受 CVE-2024-9138 影响的产品:

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
EDR-810 系列 固件版本 5.12.37 及更早版本r
EDR-8010 系列 固件版本 3.13.1 及更早版本
EDR-G902 系列 固件版本 5.7.25 及更早版本
EDR-G903 系列 固件版本 5.7.25 及更早版本
EDR-G9004 系列 固件版本 3.13.1 及更早版本
EDR-G9010 系列 固件版本 3.13.1 及更早版本
EDF-G1002-BP 系列 固件版本 3.13.1 及更早版本
NAT-102 系列 固件版本 1.0.5 及更早版本
OnCell G4302-LTE4 系列 固件版本 3.13.1 及更早版本
TN-4900 系列 固件版本 3.13.1 及更早版本

 

受 CVE-2024-9140 影响的产品:

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
EDR-8010 系列 固件版本 3.13 及更早版本
EDR-G9004 系列 固件版本 3.13 及更早版本
EDR-G9010 系列 固件版本 3.13 及更早版本
EDF-G1002-BP 系列 固件版本 3.13 及更早版本
NAT-102 系列 固件版本 1.0.5 及更早版本
OnCell G4302-LTE4 系列 固件版本 3.13 及更早版本
TN-4900 系列 固件版本 3.13 及更早版本

 

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
EDR-810 系列 升级至 固件版本 3.14 或更新版本
EDR-8010 系列 升级至 固件版本 3.14 或更新版本
EDR-G902 系列 升级至 固件版本 3.14 或更新版本
EDR-G903 系列 升级至 固件版本 3.14 或更新版本
EDR-G9004 系列 升级至 固件版本 3.14 或更新版本
EDR-G9010 系列 升级至 固件版本 3.14 或更新版本
EDF-G1002-BP 系列 升级至 固件版本 3.14 或更新版本
NAT-102 系列 升级至 固件版本 3.15 或更新版本
OnCell G4302-LTE4 系列 请联系 Moxa 技术支持 获取安全补丁
TN-4900 系列 升级至 the firmware version 3.14 或更新版本

 

防护措施:

  • 尽量减少暴露于网络,以确保无法从互联网访问设备。
  • 通过防火墙规则或 TCP 包装器限制 SSH 访问可信 IP 地址和网络。
  • 部署入侵检测系统 (IDS) 或入侵防御系统 (IPS),检测并阻止利用漏洞的行为。这些系统可通过监测网络流量及时发现攻击迹象,增强防御保护。

 

不受上述漏洞影响的产品

只有此公告“受影响的产品”部分中列出的产品会受到这些漏洞的影响。Moxa 已确认此类漏洞不会影响以下产品:

  • MRC-1002 系列
  • TN-5900 系列
  • OnCell 3120-LTE-1 系列

 

鸣谢

感谢 Lars Haulin 报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。

 

修订历史:

版本 说明 发布日期
1.0 首次发布 2025 年 1 月 3 日
1.1 更新 TN-4900 系列解决方案s 2025 年 1 月 8 日
1.2 更改产品名称 2025 年 1 月 10 日
1.3 更新 NAT-102 系列解决方案 2025 年 1 月 15 日

相关产品

EDF-G1002-BP 系列 · EDR-8010 系列 · EDR-810 系列 · EDR-G9004 系列 · EDR-G9010 系列 · EDR-G902 系列 · EDR-G903 系列 · NAT-102 系列 · OnCell G4302-LTE4 系列 · TN-4900 系列 ·

  •   打印此页
  • 您可在 My Moxa 管理和分享已保存列表
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞
添加至收藏夹