登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于Moxa NPort串口通讯器存在多个漏洞的安全公告

2016-12-06 09:47:55
安全公告编号:CNTA-2016-0061

近日,国家信息安全漏洞共享平台(CNVD)收录了Moxa NPort串口通讯器存在的多个漏洞。综合利用漏洞,攻击者可远程对相关设备发起攻击,获取管理员密码、联网升级设备固件,或通过暴力破解绕过身份验证、执行任意代码、导致拒绝服务。由于Moxa Nport应用较为广泛,存在大规模攻击风险。

一、漏洞情况分析

Moxa公司是台湾地区的一家工业自动化解决方案提供商,Moxa Nport是其生产的一款串口通讯器,用于支持设备进行以太网络组网连接,广泛应用于工业生产、自动化控制、交通运输、能源系统等行业领域。Moxa Nport被披露存在多个漏洞,列表信息如下:

CNVD编号

CVE编号

漏洞概述

综合评级

 CNVD-2016-11885                   

 CVE-2016-9361               

MoxaNPort存在凭证管理漏洞,未经身份验证的攻击者利用漏洞可获取管理员密码。

高危

CNVD-2016-11884

CVE-2016-9369

MoxaNPort存在访问控制漏洞,未经身份验证的攻击者利用漏洞可更新固件,执行任意代码。

高危

CNVD-2016-11883

CVE-2016-9363

MoxaNPort存在缓冲区溢出漏洞,未经身份验证的远程攻击者利用漏洞可执行任意代码。

高危

CNVD-2016-11882

CVE-2016-9371

MoxaNPort存在跨站脚本漏洞,攻击者利用漏洞可发起跨站攻击。

中危

CNVD-2016-11881

CVE-2016-9365

MoxaNPort存在跨站请求伪造漏洞,由于未验证用户提交的请求,攻击者利用漏洞可发起跨站请求攻击。

高危

CNVD-2016-11880

CVE-2016-9366

MoxaNPort存在身份验证漏洞,攻击者利用漏洞可暴力破解绕过身份验证。

高危

CNVD-2016-11879

CVE-2016-9348

MoxaNPort存在明文存储漏洞,由于包含明文密码的参数,攻击者利用漏洞可发起进一步攻击。

低危

CNVD-2016-11878

CVE-2016-9367

MoxaNPort存在拒绝服务漏洞,由于请求资源的次数不受限制,攻击者利用漏洞可导致资源耗尽造成拒绝服务。

高危

 

二、漏洞影响范围

漏洞影响NPort多个版本,详情如下:

NPort5110 < 2.6,

NPort5130/5150 Series < 3.6,

NPort5200 Series<2.8,

NPort5400 Series < 3.11,

NPort5600 Series < 3.7,

NPort5100A Series &NPort P5150A < 1.3,

NPort 5200ASeries < 1.3,

NPort5150AI-M12 Series < 1.2,

NPort5250AI-M12 Series < 1.2,

NPort5450AI-M12 Series < 1.2,

NPort5600-8-DT Series < 2.4,

NPort5600-8-DTL Series < 2.4,

NPort6x50 Series < 1.13.11,

NPortIA5450A <1.4.

三、漏洞修复建议

目前,厂商已发布固件升级版本修复上述漏洞,CNVD建议用户升级到最新版本,避免引发漏洞相关的网络安全事件。

NPort5110 V2.6:

http://www.moxa.com/support/download.aspx?type=support&id=882

NPort5130/5150 Series V3.6:

http://www.moxa.com/support/download.aspx?type=support&id=356

NPort5200 Series V2.8:

http://www.moxa.com/support/download.aspx?type=support&id=904

NPort5400 Series V3.11:

http://www.moxa.com/support/download.aspx?type=support&id=925

NPort5600 Series V3.7:

http://www.moxa.com/support/download.aspx?type=support&id=905

NPort5100A Series &NPort P5150A V1.3:

http://www.moxa.com/support/download.aspx?type=support&id=1403

NPort5200A Series V1.3:

http://www.moxa.com/support/download.aspx?type=support&id=1462

NPort5150AI-M12 Series V1.2:

http://www.moxa.com/support/download.aspx?type=support&id=2206

NPort5250AI-M12 Series V1.2:

http://www.moxa.com/support/download.aspx?type=support&id=2207

NPort5450AI-M12 Series V1.2:

http://www.moxa.com/support/download.aspx?type=support&id=2208

NPort5600-8-DT Series V2.4:

http://www.moxa.com/support/download.aspx?type=support&id=938

NPort5600-8-DTL Series V1.3:

http://www.moxa.com/support/download.aspx?type=support&id=1819

NPort6x50 Series V1.14:

http://www.moxa.com/support/download.aspx?type=support&id=733

NPortIA5450A V1.4:

http://www.moxa.com/support/download.aspx?type=support&id=1469

 

附:参考链接:

https://ics-cert.us-cert.gov/advisories/ICSA-16-336-02

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11885

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11884

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11883

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11882

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11881

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11880

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11879

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11878

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论