В промышленных коммутаторах Moxa обнаружены критические уязвимости
Эксплуатация самых опасных уязвимостей позволяет удаленно выполнить код и перехватить контроль над устройством.
Компания Moxa предупредила пользователей о более чем десяти опасных и критических уязвимостях в промышленных Ethernet-коммутаторах IKS и EDS. Их эксплуатация позволяет похитить конфиденциальную информацию, удаленно выполнить код, внести произвольные изменения в конфигурации, обойти аутентификацию, перезагрузить устройство, вызвать сбой в работе или полностью скомпрометировать его.
Проблемы затрагивают модели серий IKS-G6824A (версия 5.6 и младше), EDS-405A (версия 3.8 и младше), EDS-408A (версия 3.8 и младше) и EDS-510A (версия 3.8 и младше). Степень опасности наиболее серьезных уязвимостей варьируется от 9,1 до 9,8 балла по шкале CVSS v3.
В коммутаторах EDS содержатся уязвимости, связанные с хранением пароля в незашифрованном виде (CVE-2019-6518), возможностью прогнозирования на основе наблюдаемого состояния (CVE-2019-6563), отсутствием шифрования критичных данных (CVE-2019-6526), некорректным ограничением количества неудачных попыток аутентификации (CVE-2019-6524) и неконтролируемым использованием ресурсов (CVE-2019-6559).
Проблемы в коммутаторах IKS связаны с копированием содержимого буфера без проверки размера входных данных (CVE-2019-6557), чтением за пределами буфера (CVE-2019-6522), неконтролируемым использованием ресурсов (CVE-2019-6559), межсайтовым выполнением сценариев (CVE-2019-6565), некорректным управлением доступом (CVE-2019-6520) и подделкой межсайтового запроса (CVE-2019-6561).
Патчи, устраняющие вышеуказанные проблемы, доступны на сайте производителя.