Компании

Устранение уязвимостей точек доступа серии AWK-3131A

8 сентября 2024 г. в 11:04

В июне 2024 года головной офис Moxa сообщил об обнаружении множества уязвимостей в промышленных точках доступа серии AWK-3131A с версией прошивки 1.13 и ниже и серии AWK-3131A-RCC с версией прошивки 1.1 и ниже.

Устранение уязвимостей точек доступа серии AWK-3131A

Описание уязвимостей:

  • CWE-284 (CVE-2019-5136 / TALOS-2019-0925) – некорректное управление доступом. Неправильный доступ к системе как пользователь с более высокими привилегиями. Злоумышленник может отправлять команды, будучи аутентифицированным как пользователь с низкими привилегиями, чтобы вызвать уязвимость.
  • CWE-321 (CVE-2019-5137 / TALOS-2019-0926) – использование жестко закодированного ключа шифрования. Запрограммированный криптографический ключ позволяет расшифровывать захваченный трафик.
  • CWE-78 (CVE-2019-5138 / TALOS-2019-0927, CVE-2019-5140 / TALOS-2019-0929, CVE-2019-5141 / TALOS-2019-0930, CVE-2019-5142 / TALOS-2019-0931) – некорректная нейтрализация специальных элементов, используемых в системных командах (Внедрение команд ОС). Удаленная инъекция команд для получения контроля над устройством. Злоумышленник может отправлять команды, будучи аутентифицированным как пользователь с низкими привилегиями, чтобы активировать уязвимость.
  • CWE-798 (CVE-2019-5139 / TALOS-2019-0928) – использование жестко закодированных учетных данных. Жестко запрограммированные учетные данные, пригодные для использования злоумышленниками.
  • CWE-120 (CVE-2019-5143 / TALOS-2019-0932) – копирование содержимого буфера без проверки размера входных данных (классическое переполнение буфера). Уязвимость может привести к удаленному выполнению кода. Злоумышленник может отправлять команды, будучи аутентифицированным как пользователь с низкими привилегиями, чтобы вызвать уязвимость.
  • CWE-125 (CVE-2019-5148 / TALOS-2019-0938) – чтение за пределами буфера. Злоумышленник может отправить специально созданный пакет и вызвать отказ в обслуживании устройства.
  • CWE-121 (CVE-2019-5153 / TALOS-2019-0944) – переполнение буфера в стеке. Уязвимость может привести к удаленному выполнению кода. Злоумышленник может отправлять команды, будучи аутентифицированным как пользователь с низкими привилегиями, чтобы вызвать уязвимость.
  • CWE-284 (CVE-2019-5162 / TALOS-2019-0955) – некорректное управление доступом. Неправильный удаленный доступ к оболочке устройства. Злоумышленник может отправлять команды, будучи аутентифицированным как пользователь с низкими привилегиями, чтобы вызвать уязвимость.
  • CWE-288 (CVE-2019-5165 / TALOS-2019-0960) – обход аутентификации, связанный с альтернативными путями или каналами. Уязвимость обхода аутентификации, когда злоумышленник может запустить обход аутентификации на специально настроенном устройстве.

Для устранения уязвимости установите актуальную версию прошивки с сайта в карточке устройства:

  • Серия AWK-3131A версия прошивки 1.14 и выше.
  • Серия AWK-3131A-RCC версия прошивки 1.2 и выше.

Moxa выражает свою благодарность Jared Rittle, Carl Hurd, Patrick DeSantis и Alexander Perez Palma из Cisco Talos за сообщение о данной уязвимости, за сотрудничество в целях повышения безопасности устройств и за помощь в улучшении качества обслуживания клиентов.


Для предоставления актуальной информации и во избежание недоразумений Moxa публикует всю самую свежую информацию о найденных уязвимостях и способах их устранения на странице Security Advisories (Советы по безопасности). Информация о наиболее критичных уязвимостях будет появляться и на русскоязычном сайте.

Пользуйтесь оборудованием Moxa с удовольствием, но не забывайте периодически проверять обновления. И, конечно же, обращайтесь за любыми консультациями!

👉 Подписывайтесь на Elec.ru. Мы есть в Телеграм, ВКонтакте и Одноклассниках

Информация о компании

«Ниеншанц-Автоматика» — это команда профессионалов, готовых поделиться опытом и наработками в сфере высоких технологий. У нас есть все для того, чтобы заказчик мог в короткие сроки реализовать свой проект: более 25 лет опыта, широкий ассортимент товаров и складских запасов, высококвалифицированные инженеры, индивидуальные условия. Мы постоянно растем и развиваемся, повышаем квалификацию и наращиваем список партнеров и поставщиков, чтобы предоставлять нашим клиентам самые современные технические решения.
ООО «Копос Электро» — представительство чешской корпорации KOPOS KOLIN а.s. в Российской Федерации. Основным видом производства компании является электромонтажные изделия для кабельных систем. Количество изделий в серийных линейках продукции бренда KOPOS превышает 8 тысяч наименований.