Moxa NPort设备易遭受远程攻击

“

全文1084字

预计阅读时间4min

”

数百种Moxa设备

与乌克兰电网中的目标设备一样易受远程攻击

Moxa公司为其NPort串行设备服务器发布的固件更新修复了几个会被远程利用的高危漏洞。同类型的设备在对2015乌克兰能源部门的攻击中成为了黑客的目标。

根据ICS-CERT发布的报告，这些漏洞会影响NPort 5110 2.2,2.4,2.6和2.7版本，NPort 5130 3.7版本及之前版本以及NPort 5150 3.7版本及之前版本。该安全漏洞已经通过NPort 5110 2.9版本以及NPort 5130和5150的3.8版本进行了修复。

ICS-CERT表示，其中一个漏洞CVE-2017-16719使得攻击者能够注入数据包并破坏设备的可用性；另一个漏洞CVE-2017-16715与以太网帧填充处理有关，并且可能会导致信息泄露；最后一个漏洞CVE-2017-14028可能会通过发送大量的TCP SYN数据包使得内存耗尽。

ICS-CERT的研究人员Florian Adamsky向Securityweek表示，这些漏洞是在他和卢森堡大学SECAN实验室的Thomas Engel博士进行的一个更大的研究项目中发现的。

这项研究主要集中在工业级串口转以太网转换器上，这些转换器常用于包括发电厂，水处理设施和化工厂在内的关键基础设施中。Adamsky指出，在 2015 年造成大范围断电的乌克兰电网攻击事件中，黑客针对这些类型的设备进行破坏使其无法使用。对这些漏洞的详细描述报告将在未来的某个时间点发布。

研究人员表示，所有的Moxa设备漏洞都可以通过互联网被远程利用。通过Censys搜索引擎的扫描发现，连接到公网上的Moxa设备超过了2000个，其中超过1350个NPort系统受到了此次发现的漏洞的影响。

Adamsky表示，CVE-2017-16719漏洞的存在是因为NPort 5110和5130设备的TCP初始序列号（ISN）是可预测的。攻击者可以利用这个漏洞预测ISN以创建恶意网络数据包并将其注入到已建立的TCP连接中。

据研究人员的介绍，ISN是基于“在线时间”获得的，而“在线时间”可以通过简单网络管理协议（SNMP）被轻松获取。专家表示，在某些特定情况下，利用这个漏洞可能会导致任意命令的执行。

攻击者可以利用漏洞CVE-2017-16715获得发送过的历史网络数据包，其中包含HTTP连接的会话 ID 。攻击者可利用此 ID 访问设备的 Web 界面。

Adamsky解释道：“在漏洞CVE-2017-16715中，我们发现这些设备将未初始化的内存作为网络数据包的填充，根据 RFC 894，最小的以太网帧大小是 46 个字节。如果一个数据包小于最小尺寸，那么 IP 数据包‘应该被填充（八位字节为零），以满足以太网最小帧尺寸。’，Moxa使用的是未初始化的内存而不是置零的八位字节。该漏洞在过去被称为Etherleak。”

今年 6 月和 8 月，这些安全漏洞通过 ICS-CERT 向Moxa公司报告，并于 11 月 14 日由供应商进行修补。

Bolean ｜ 木链科技