Устранение уязвимостей модулей резервирования серии PT-G503 и Ethernet коммутаторов в стойку 19” серий PT-7728 / PT-7828

В декабре 2023 года головной офис Moxa сообщил об обнаруженных уязвимостях модулях резервирования серии PT-G503 а также Ethernet коммутаторах в стойку 19” серий PT-7728 и PT-7828.

Уязвимостям подвержены следующие модели устройств:

• Серия PT-G503 с версией прошивки 5.2 и ниже.
• Серия PT-7728 с версией прошивки 3.8 и ниже.
• Серия PT-7828 с версией прошивки 3.10 и ниже.

Описание уязвимостей:

1. 1.       Некорректная нейтрализация входных данных при генерировании веб-страниц (Межсайтовое выполнение сценариев) (CWE-79) CVE-2015-9251, CVE-2020-11022, CVE-2020-11023 (jQuery)
2. 2.       Некорректный контроль изменений атрибутов прототипа объекта (Подмена прототипа) (CWE-1321) CVE-2019-11358 (jQuery) 
3. 3.       Недостаточно надежное шифрование (CWE-326) CVE-2005-4900 (cipher) 
4. 4.       Отсутствие флага HttpOnly у конфиденциальных куки-параметров (CWE-1004) CVE-2023-4217 (Cookie)
5. 5.       Отсутствие в HTTPS-сессиях атрибута Secure у конфиденциальных куки-параметров (CWE-614) CVE-2023-5035 (Cookie)

Для устранения уязвимостей CVE-2005-4900 / CVE-2015-9251 / CVE-2019-11358 / CVE-2020-11022 / CVE-2020-11023, пожалуйста, установите новую версию прошивки:

• Firmware для PT-G503-PHR-PTP (версия 5.3 от 28.09.2023): СКАЧАТЬ (6 Мб)
• Firmware для PT-7728 (версия 3.9 от 28.12.2023): СКАЧАТЬ (2 Мб)
• Firmware для PT-7828 (версия 4.0 от 28.12.2023): СКАЧАТЬ (0,5 Мб)

Уровни риска CVE-2023-4217 и CVE-2023-5035 низкие, а запретить HTTP-соединения сложно, поскольку HTTP по-прежнему требуется в некоторых сценариях устаревших приложений. Чтобы устранить эти уязвимости, пользователям следует при необходимости осторожно использовать HTTP и попытаться заменить HTTP на HTTPS при использовании веб-службы. Дополнительно Moxa рекомендует пользователям реализовать следующие меры по снижению риска воздействия данных уязвимостей:

• Уменьшите доступ до локальной сети таким образом, чтобы все устройства и системы управления были недоступны из Интернета.
• Поместите сети систем управления и удаленные устройства за межсетевыми экранами, изолируя их от коммерческих сетей.
• Если необходим удаленный доступ, используйте безопасные методы, такие как виртуальные частные сети (VPN). Важно отметить, что средства VPN также могут иметь уязвимости, поэтому их следует постоянно обновлять до последней доступной версии. Помните, что безопасность VPN зависит от безопасности подключенных к нему устройств.

Для предоставления актуальной информации и во избежание недоразумений, Moxa публикует всю самую свежую информацию о найденных уязвимостях и способах их устранения на странице Security Advisories (Советы по безопасности). Информация о наиболее критичных уязвимостях всегда появляется и на русскоязычном сайте.

Пользуйтесь оборудованием Moxa с удовольствием, но не забывайте периодически проверять обновления. И, конечно же, обращайтесь к нам за любыми консультациями!