Tayvanlı şirket Moxa, bir saldırganın kimlik doğrulama garantilerini atlamasına izin verebilecek PT anahtarlarını etkileyen kritik bir güvenlik kusurunu ele almak için bir güvenlik güncellemesi yayınladı.
Güvenlik açığı, CVE-2024-12297maksimum 10.0 üzerinden 9.2 CVSS V4 skoru atandı.
Şirket, geçen hafta yayınlanan bir danışmada, “Çoklu Moxa PT anahtarları, yetkilendirme mekanizmalarındaki kusurlar nedeniyle bir kimlik doğrulama bypass’a karşı savunmasız.” Dedi.
“İstemci tarafı ve arka uç sunucu doğrulamasına rağmen, saldırganlar uygulanmasında zayıflıklardan yararlanabilir. Bu güvenlik açığı, kaba kuvvet saldırılarının geçerli kimlik bilgilerini veya MD5 çarpışma saldırılarını tahmin etmesini sağlayabilir, bu da cihazın güvenliğini tehlikeye atar.”
Korsanın başarılı bir şekilde kullanılması, başka bir deyişle, bir kimlik doğrulama bypass’a yol açabilir ve bir saldırganın hassas konfigürasyonlara yetkisiz erişim kazanmasına veya hizmetleri bozmasına izin verebilir.
Kusur aşağıdaki sürümleri etkiler –
- PT-508 Serisi (ürün yazılımı sürüm 3.8 ve önceki)
- PT-510 Serisi (ürün yazılımı sürüm 3.8 ve önceki)
- PT-7528 Serisi (Firmware sürüm 5.0 ve önceki)
- PT-7728 Serisi (Firmware sürüm 3.9 ve önceki)
- PT-7828 Serisi (Firmware sürüm 4.0 ve önceki)
- PT-G503 Serisi (ürün yazılımı sürüm 5.3 ve önceki)
- PT-G510 Serisi (ürün yazılımı sürüm 6.5 ve önceki)
- PT-G7728 Serisi (ürün yazılımı sürüm 6.5 ve önceki) ve
- PT-G7828 Serisi (Firmware sürüm 6.5 ve önceki)
Güvenlik açığı için yamalar, Moxa Teknik Destek Ekibi ile temasa geçerek elde edilebilir. Şirket, güvenlik açığını bildirmek için Moskova merkezli Rosatom Otomatik Kontrol Sistemleri’nden (RASU) Artem Turyshev’e kredi verdi.
Dışarıda en son düzeltmeleri uygulayın, etkilenen ürünleri kullanan şirketlerin, güvenlik duvarlarını veya erişim kontrol listelerini (ACL’ler) kullanarak ağ erişimini kısıtlaması, ağ segmentasyonunu zorlamak, internete doğrudan maruz kalmayı en aza indirmek, kritik sistemlere erişmek için çok faktörlü kimlik doğrulama (MFA) uygulamak, olay günlüğünü ve izlemek için ağ trafiği ve cihaz davranışını uygulamak için uygulamak.
Moxa’nın Ethernet Switch EDS-508A serisinde aynı güvenlik açığını çözdüğünü, 3.11 ve daha önceki ürün yazılımı sürümünü 2025 yılının ortalarında çalıştırdığını belirtmek gerekir.
Geliştirme, Moxa’nın hücresel yönlendiricilerini, güvenli yönlendiricilerini ve ağ güvenlik cihazlarını (CVE-2024-9138 ve CVE-2024-9140) etkileyen iki güvenlik açığı için yamalar çıkarmasının iki aydan biraz fazla bir süre içinde geliyor.
Geçen ay, bir hizmet reddi (DOS) saldırısı veya komut yürütme ile sonuçlanabilecek çeşitli anahtarları (CVE-2024-7695, CVE-2024-9404 ve CVE-2024-9137) etkileyen birden fazla yüksek şiddetli kusuru ele aldı.