Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08035

Опубликовано: 14 окт. 2024
Источник: fstec
CVSS3: 9.4
CVSS2: 9.7
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения устройств Moxa EDR-8010, EDR-G9004, EDR-G9010, EDR-G1002-BP, NAT-102 OnCell G4302-LTE4, TN-4900 связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить полный доступ к конфигурации устройства

Вендор

Moxa Inc.

Наименование ПО

EDR-8010
EDR-G9004
EDR-G9010
EDF-G1002-BP
NAT-102
OnCell G4302-LTE4
TN-4900

Версия ПО

до 3.13 (EDR-8010)
до 3.13 (EDR-G9004)
до 3.13 (EDR-G9010)
до 3.13 (EDF-G1002-BP)
до 3.13 (NAT-102)
до 3.13 (OnCell G4302-LTE4)
до 3.13 (TN-4900)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,4)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа к уязвимым устройствам из внешних сетей (Интернет);
- использование «белого» списка IP-адресов для организации удалённого доступа к устройствам;
- использование систем обнаружения и предотвращения вторжений для детектирования и нейтрализации попыток эксплуатации уязвимостей.
Использование рекомендаций:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241154-missing-authentication-and-os-command-injection-vulnerabilities-in-routers-and-network-security-appliances

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 35%
0.00144
Низкий

9.4 Critical

CVSS3

9.7 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-9137

CVSS3: 9.4
nvd
больше 1 года назад

The affected product lacks an authentication check when sending commands to the server via the Moxa service. This vulnerability allows an attacker to execute specified commands, potentially leading to unauthorized downloads or uploads of configuration files and system compromise.

github логотип

GHSA-c5hh-282x-jrgh

CVSS3: 9.4
github
больше 1 года назад

The affected product lacks an authentication check when sending commands to the server via the Moxa service. This vulnerability allows an attacker to execute specified commands, potentially leading to unauthorized downloads or uploads of configuration files and system compromise.

EPSS

Процентиль: 35%
0.00144
Низкий

9.4 Critical

CVSS3

9.7 Critical

CVSS2