Устранение уязвимостей коммутаторов серии EDS-508A

В январе 2025 года головной офис Moxa сообщил об обнаруженной уязвимости, позволяющей обходить аутентификацию из-за недостатков в механизме авторизации, в коммутаторах серии EDS-508A с версией прошивки 3.11 и ниже. Уязвимость позволяет проводить атаки методом подбора для угадывания действительных учетных данных или атаки с коллизией MD5 для подделки хэшей аутентификации, что потенциально ставит под угрозу безопасность устройства.

Описание уязвимости:

CWE-656 (CVE-2024-12297) - защитный механизм на основе неизвестности. Злоумышленник может обойти аутентификацию, выполнить атаки методом подбора или коллизии MD5, а также получить несанкционированный доступ к конфиденциальным конфигурациям или нарушить работу служб.

Для устранения уязвимостей установите новую версию прошивки:

Firmware для EDS-508A (бета-версия 3.11.4 от 12.12.2024): СКАЧАТЬ (2.5 Мб)

Moxa выражает свою благодарность Артему Турышеву из АО «РАСУ» за сообщение о данной уязвимости, за сотрудничество в целях повышения безопасности устройств и за помощь в улучшении качества обслуживания клиентов.

Для предоставления актуальной информации и во избежание недоразумений Moxa публикует всю самую свежую информацию о найденных уязвимостях и способах их устранения на странице Security Advisories (Советы по безопасности). Информация о наиболее критичных уязвимостях будет появляться и на русскоязычном сайте.

Пользуйтесь оборудованием Moxa с удовольствием, но не забывайте периодически проверять обновления.
И, конечно же, обращайтесь к нам за любыми консультациями!