ГлавнаяБаза уязвимостей БДУ → BDU:2023-02275
10критическая

BDU:2023-02275

Уязвимость микропрограммного обеспечения встраиваемого преобразователя Moxa MiiNePort E1, связанная с отсутствием аутентификации для критичной функции, позволяющая нарушителю выполнить вход в интерфейс конфигурации системы для просмотра, изменения или прекращения работы служб
Опубликовано: 2023-05-02
Описание

Уязвимость микропрограммного обеспечения встраиваемого преобразователя Moxa MiiNePort E1 связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить вход в интерфейс конфигурации системы для просмотра, изменения или прекращения работы служб

Затрагиваемое ПО и версии
Moxa MiiNePort E1 (до 1.8)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения доступа к устройству;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://cdn-cms.azureedge.net/Moxa/media/PDIM/S100000223/MiiNePort%20E1%20Series_moxa-miineport-e1-series-firmware-v1.9.rom_Software%20Release%20History.pdf

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://cdn-cms.azureedge.net/Moxa/media/PDIM/S100000223/MiiNePort%20E1%20Series_moxa-miineport-e1-series-firmware-v1.9.rom_Software%20Release%20History.pdfhttps://www.twcert.org.tw/tw/cp-132-7021-eb43a-1.htmlhttps://cdn-cms.azureedge.net/Moxa/media/PDIM/S100000223/MiiNePort%20E1%20Series_moxa-miineport-e1-series-firmware-v1.9.rom_Software%20Release%20History.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена