Уязвимость микропрограммного обеспечения вычислительных платформ Moxa серий UC-8100A-ME-T, UC-2100, UC-2100-W, UC-3100, UC-5100, UC-8100, UC-8100-ME-T, UC-8200, UC-8410A, UC-8580, UC-8540 IIoT-шлюза AIG-300, промышленного компьютера DA-662C-16-LX связана с ошибками при управлении привилегиями. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- работа от имени пользователя с минимальными воз-можными привилегиями.
Использование рекомендаций производителя:
https://www.moxa.com/en/support/product-support/security-advisory/arm-based-computer-improper-privilege-management-vulnerability
Порядок обновления (UC и DA – серий):
Для устройств, имеющих доступ в Интернет:
1. Подключиться к устройству и войти в систему с по-мощью оболочки Linux.
2. Ввести последовательно следующие команды, чтобы обновить уязвимый программный компонент (moxa-версию):
sudo apt update
sudo apt install --only-upgrade moxa-version
Для устройств, не имеющих доступ в Интернет:
1. Загрузить moxa-version_1.3.3+deb9_armhf.deb с ука-занного ниже сайта, используя компьютер с доступом в Интернет. https://debian.moxa.com/#debian/pool/main/m/moxa-version/
2. Перенести загруженный пакет на обновляемый ком-пьютер на базе Moxa Arm.
3. Установить загруженный пакет с помощью следую-щей команды:
dpkg -i moxa-version_1.3.3+deb9_armhf.deb
Порядок обновления (AIG-300):
С использованием прокси-сервера ThingsPro:
1. Загрузить актуальную версию утилиты ThingsPro Proxy с веб-сайта Moxa и установить ее на свой персо-нальный компьютер.
2. Следовать инструкциям в Руководстве пользователя ThingsPro Proxy для обновления устройств.
Для устройств, участвующих в программе предвари-тельного поддержки Moxa DLM Service:
1. Войти в свою учетную запись Moxa DLM Service.
2. Перейти в «Репозиторий — Программное обеспечение» и примените «Исправление безопасности AIG-301 для IPV-220803».
| Балл | 6.8 — высокая опасность |