自 2022 年 6 月 15 日起,本网站不再支持 Internet Explorer。 请使用其他浏览器访问我们的网站,以获得最佳的浏览体验。
登录
首页 支持 安全公告 NPort IA5000A 系列串口设备联网服务器漏洞

产品支持

安全公告

请登录

忘记密码了?
登录
记住密码
非注册用户? 现在注册
概述

NPort IA5000A 系列串口设备联网服务器漏洞

  • 安全公告编号: MPSA-210401
  • 版本: V1.0
  • 发布日期: 2021年4月28日
  • 参考:
    • CVE-2020-27149, CVE-2020-27150, CVE-2020-27184, CVE-2020-27185
    • KLCERT-20-018, KLCERT-20-019, KLCERT-20-020, KLCERT-20-021

Moxa NPort IA5000A 系列串口设备联网服务器中发现一些产品漏洞。为此,Moxa 制定了相关修复方案。

确定的漏洞类型和潜在影响如下所示:

序号 漏洞类型 影响
1 访问控制错误 (CWE-284)
CVE-2020-27149, KLCERT-20-018		 攻击者可利用这一漏洞,提升其控制的用户权限级别,或接收超出其权限级别的请求。
2 证书储存未受保护 (CWE-256)
CVE-2020-27150, KLCERT-20-019		 如果配置文件通过不安全的通讯渠道传输,攻击者可从文件中提取验证证书,再利用此数据通过 Moxa 服务验证,更改设备配置。
3 明文传输敏感信息 (CWE-319)
CVE-2020-27184, KLCERT-20-020		 如果客户端与设备之间通过 Telnet 进行通讯往来,攻击者可读取两端传输的所有数据,包括验证证书、设备配置数据、设备版本等敏感数据。
4 明文传输敏感信息 (CWE-319)
CVE-2020-27185, KLCERT-20-021		 如果启用 Moxa 服务,攻击者可利用这一漏洞,读取设备传输的所有数据,包括验证数据、设备配置数据、设备版本等敏感数据。
受影响产品与解决方案

受影响的产品:

受影响的产品和固件版本如下所示。

产品系列 受影响的版本
NPort IA5150A/IA5250A 系列 固件版本 1.4 或更早版本
NPort IA5450A 系列 固件版本 1.7 或更早版本

 

解决方案:

Moxa 已制定合理方案修复上述漏洞。针对受影响产品的解决方案如下所示。

产品系列 解决方案
NPort IA5000A 系列
  • 条目 1 (CVE-2020-27149):NPort IA5150A/IA5250A 系列,请更新至固件版本 1.5 或更新版本。对于 NPort IA5450A 系列,请更新至固件版本 2.0 或更新版本。请点击此处下载所需固件。
  • 条目 2 (CVE-2020-27150):Moxa 产品支持预共享密钥功能,可对配置文件进行加密,从而降低这一风险。详情请参见用户手册中的“导出/导入”(Export/Import) 部分。
  • 条目 3 (CVE-2020-27184):Moxa 产品可禁用 Telnet 服务,从而降低这一风险。详情请参见用户手册中的“Console设置”(Console Settings) 部分。NPort IA5150A/IA5250A 系列固件版本 1.5 或更新版本默认禁用 Telnet 服务。NPort IA5450A 系列固件版本 2.0 或更新版本默认禁用 Telnet 服务。
  • 条目 4 (CVE-2020-27185):Moxa 产品可禁用 Moxa 服务,从而降低这一风险。详情请参见用户手册中的“Console 设置”(Console Settings) 部分。

鸣谢:

感谢卡巴斯基实验室 ICS CERT 的 Alexander Nochvay 先生报告了漏洞,与我们合力提高产品安全性,帮助我们为客户提供更好的服务。
 

修订历史:

版本 描述 发布日期
1.0 首次发布 2021 年 4 月 28 日

相关产品

NPort IA5000A 系列 ·

  •   打印此页

  • 保存
    您可在 My Moxa 管理和分享已保存列表
相关公告
漏洞修复

如果您担心 Moxa 产品可能存在安全漏洞,请与我们联系,我们将协助您进行查询。

报告漏洞

请勿共享我的个人信息

若选择不向跨场景行为广告共享个人信息,您可以填写并提交下方的表格。


请注意,即使选择填写表格,您仍有可能在其他网站看到我们的广告,但这些广告有可能与您的兴趣无关。

 
 
添加至收藏夹

查看收藏夹