自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。
登录
首页 支持 安全公告 CVE-2024-12297:EDS-508A 系列出现前端授权认证逻辑泄露漏洞

产品支持

安全公告

请登录

忘记密码了?
登录
记住密码
非注册用户? 现在注册
概述

CVE-2024-12297:EDS-508A 系列出现前端授权认证逻辑泄露漏洞

  • 安全公告编号: MPSA-241407
  • 版本: V1.1
  • 发布日期: 2025年1月15日
  • 参考:

    CVE-2024-12297 (Moxa)

Moxa 以太网交换机 EDS-508A 系列如使用版本 3.11 或更早版本的固件,容易由于授权认证机制缺陷而受到旁路认证漏洞的影响。尽管要客户端和后端服务器的双重验证,攻击者仍可利用验证过程中的漏洞进行攻击。攻击者可能通过暴力破解攻击猜测有效凭据,或通过 MD5 碰撞攻击伪造授权认证哈希值,从而可能危及设备的安全性。


确定的漏洞类型和潜在影响

序号 漏洞类型 影响
1

CWE-656: 依赖于隐蔽性安全 (CVE-2024-12297)

攻击者可能利用此漏洞绕过身份验证,实施暴力破解攻击或 MD5 碰撞攻击,未经授权即可访问敏感配置,甚至直接破坏服务。

漏洞评分信息

ID
基础得分
漏洞载体
严重程度

是否无需身份验证即可远程利用漏洞
CVE-2024-12297

9.2

AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L

 严重
受影响产品与解决方案

受 CVE-2024-12297 影响的产品:

受影响的产品和固件版本如下所示:

产品系列 受影响的版本
EDS-508A 系列 固件版本 3.11 及更早版本
EDS-510E 系列 固件版本 5.5 及更早版本
EDS-518E 系列 固件版本 6.3 及更早版本
EDS-528E 系列 固件版本 6.3 及更早版本
EDS-508E 系列 固件版本 6.4 及更早版本
EDS-512E 系列 固件版本 6.4 及更早版本
EDS-516E 系列 固件版本 6.4 及更早版本
EDS-506E 系列 固件版本 5.8 及更早版本
SDS-3000 系列
(SDS-3006, SDS-3008, SDS-3010, SDS-3016)		 固件版本 3.0 及更早版本
SDS-G3000 系列
(SDS-G3006, SDS-G3008, SDS-G3010, SDS-G3016)		 固件版本 3.0 及更早版本

 

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示:

产品系列 解决方案
EDS-508A 系列 请联系 Moxa 技术支持 获取安全补丁
EDS-510E 系列 升级至 固件版本 5.6 或更新版本
EDS-518E 系列 升级至 固件版本 6.4 或更新版本
EDS-528E 系列 升级至 固件版本 6.4 或更新版本
EDS-508E 系列 升级至 固件版本 6.5 或更新版本
EDS-512E 系列 升级至 固件版本 6.5 或更新版本
EDS-516E 系列 升级至 固件版本 6.5 或更新版本
EDS-506E 系列 升级至 固件版本 5.9 或更新版本
SDS-3000 系列
(SDS-3006, SDS-3008, SDS-3010, SDS-3016)		 升级至 固件版本 3.1 或更新版本
SDS-G3000 系列
(SDS-G3006, SDS-G3008, SDS-G3010, SDS-G3016)		 升级至 固件版本 3.1 或更新版本

 

防护措施:

  • 尽量减少暴露于网络,以确保无法从互联网访问设备。
  • 通过防火墙规则或 TCP 包装器限制 SSH 访问可信 IP 地址和网络。
  • 部署入侵检测系统 (IDS) 或入侵防御系统 (IPS),检测并阻止利用漏洞的行为。这些系统可通过监测网络流量及时发现攻击迹象,增强防御保护。

 

鸣谢:

感谢 Rosatom Automated Control Systems Joint-Stock 公司的 Artem Turyshev 报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。

 

修订历史:

版本 说明 发布日期
1.0 首次发布 2025 年 1 月 15 日
1.1 更新受影响的产品与解决方案:EDS-510E 系列、EDS-518E 系列、EDS-528E 系列、EDS-G508E 系列、EDS-G512E 系列、EDS-G516E 系列、EDS-P506E 系列、SDS-3000 系列、SDS-G3000 系列 2025 年 7 月 14 日

相关产品

EDS-508A 系列 · EDS-510E 系列 · EDS-518E 系列 · EDS-528E 系列 · EDS-G508E 系列 · EDS-G512E 系列 · EDS-G516E 系列 · EDS-P506E 系列 · SDS-3006 系列 · SDS-3008 系列 · SDS-3010 系列 · SDS-3016 系列 · SDS-G3006 系列 · SDS-G3008 系列 · SDS-G3010 系列 · SDS-G3016 系列 ·

  •   打印此页

  • 保存
    您可在 My Moxa 管理和分享已保存列表
相关公告
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞

请勿共享我的个人信息

若选择不向跨场景行为广告共享个人信息,您可以填写并提交下方的表格。


请注意,即使选择填写表格,您仍有可能在其他网站看到我们的广告,但这些广告有可能与您的兴趣无关。

 
 
添加至询价

查看询价