NPort 6000 系列和工具程序未适当地执行凭证验证漏洞

概述

NPort 6000 系列和工具程序未适当地执行凭证验证漏洞

安全公告编号: MPSA-230302
版本: V1.0
发布日期: 2023年3月14日
参考:
- NVD - CVE-2022-43993 (nist.gov)
- NVD - CVE-2022-43994 (nist.gov)

以下两个安全漏洞会影响 NPort 6000 系列和 Windows 驱动程序管理软件。攻击者可能会执行中间人攻击，在 NPort 6000 系列与 Windows 驱动程序管理软件之间的安全连接中窃听内容。

CVE-2022-43993

Windows 驱动程序管理软件未执行任何凭证验证。

CVE-2022-43994

未在建立安全连接时执行任何客户端凭证验证/认证。

确定的漏洞类型和潜在影响如下所示:

序号	漏洞类型	影响
1	未适当地执行凭证验证 CVE-2022-43993	Windows 驱动程序管理软件未执行任何凭证验证。攻击者可能会执行中间人攻击，在 NPort 6000 系列与 Windows 驱动程序管理软件之间的安全连接中窃听内容。
2	未适当地执行凭证验证 CVE-2022-43994	未在建立安全连接时执行任何客户端凭证验证/认证。攻击者可能会执行中间人攻击，在 NPort 6000 系列与 Windows 驱动程序管理软件之间的安全连接中窃听内容。

受影响产品与解决方案

受影响的产品:

受影响的产品和固件版本如下所示：

产品系列	受影响的版本
NPort 6000 系列	固件版本 2.2 或更早版本
Windows 驱动程序管理软件系列（Windows 7 至 10、Windows Server 2008 R2 至 2019，已通过 WHQL 认证）	软件版本 3.4 或更早版本
Windows 驱动程序管理软件系列（Windows 11 和 Server 2022 以及更新的版本，已通过 WHQL 认证）	软件版本 4.0 或更早版本

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示：

产品系列	解决方案
NPort 6000 系列	请联系 Moxa 技术支持获取安全补丁。
Windows 驱动程序管理软件系列（Windows 7 至 10、Windows Server 2008 R2 至 2019，已通过 WHQL 认证）	请升级至固件版本 3.5 或更高版本。
Windows 驱动程序管理软件系列（Windows 11 和 Server 2022 以及更新的版本，已通过 WHQL 认证）	请升级至固件版本 4.1 或更高版本。

鸣谢:

感谢 Dragos 公司的 Reid Wightman 先生报告了漏洞，与我们合力提高产品安全性，帮助我们为客户提供更好的服务。

修订历史:

版本	说明	发布日期
1.0	首次发布	2023 年 3 月 14 日

工业网络基础设施

工业设备联网

工业计算

行业聚焦

聚焦新技术

助力您的 IIoT 发展

产品支持

维修&保修

资源

联系我们

关于我们

了解 Moxa

创造持久价值

加入 Moxa

产品支持

安全公告

概述

NPort 6000 系列和工具程序未适当地执行凭证验证漏洞

受影响产品与解决方案

受影响的产品:

解决方案:

鸣谢:

相关产品

相关公告

漏洞修复

感谢注册！

{{ product.name }}

工业网络基础设施

工业设备联网

工业计算

行业聚焦

聚焦新技术

助力您的 IIoT 发展

产品支持

维修&保修

资源

联系我们

关于我们

了解 Moxa

创造持久价值

加入 Moxa

产品支持

安全公告

请登录

概述

NPort 6000 系列和工具程序未适当地执行凭证验证漏洞

受影响产品与解决方案

受影响的产品:

解决方案:

鸣谢:

相关产品

相关公告

漏洞修复

确认您的订阅信息

感谢注册！

请勿共享我的个人信息

{{ product.name }}