Устранение уязвимостей коммутаторов SDS-3008

В феврале 2023 года головной офис Moxa сообщил об обнаруженных уязвимостях в коммутаторах Moxa серии SDS-3008. Узвимостям подвержены коммутаторы с прошивкой 2.1 и ниже.

Описание уязвимостей:

1. 1. Уязвимость конфигурации веб-приложения микропрограммного обеспечениясвязана с передачей данных в открытом виде. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации. (CWE-319) CVE-2022-40693
2. 2. Уязвимость веб-сервера микропрограммного обеспечения связана с недостаточным объемом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированного HTTP-запроса. (CWE-410) CVE-2022-40224
3. 3. Уязвимость микропрограммного обеспечения Ethernet–коммутаторов связана с недостаточной защитой структуры веб-страницы при обработке полей Switch Description, Contact Information, Switch Location в разделе Switch Information. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript-код. (CWE-79) CVE-2022-41311, CVE-2022-41312, CVE-2022-41313
4. 4. Уязвимость функции веб-приложения микропрограммного обеспечения связана с недостаточной защитой служебных данных при обработке символов "/" или "\" URL-адреса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации путем отправки специально созданного HTTP-запроса. Information Exposure. (CWE-200) CVE-2022-40691

Для устранения уязвимости, пожалуйста, установите исправленную версию прошивки:

1. Firmware для SDS-3008 (бета-версия 2.1.8 от 09.02.2023): СКАЧАТЬ (3 Мб)

Moxa выражает свою благодарность Cisco Talos team за сообщение о данных уязвимостях, за сотрудничество в целях повышения безопасности устройств и за помощь в улучшении качества обслуживания клиентов.

Для предоставления актуальной информации и во избежание недоразумений Moxa публикует всю самую свежую информацию о найденных уязвимостях и способах их устранения на странице Security Advisories (Советы по безопасности). Информация о наиболее критичных уязвимостях будет появляться и на русскоязычном сайте.

Пользуйтесь оборудованием Moxa с удовольствием, но не забывайте периодически проверять обновления. И, конечно же, обращайтесь к нам за любыми консультациями!