安全专家发现四零四科技的网管软件Moxa MXview平台5项漏洞,串联起来可让远程攻击者以最高权限进行远程程序代码执行(RCE)攻击,漏洞风险值达到最高的10分,呼吁MXview用户应立即升级到3.2.4版或更新版本。
Moxa MXview网络管理软件是用于配置、监控和管理工业级网络设备。其运行原理是以MQTT broker在不同端点传输IPC/ RPC消息,而为发送到正确终端,MQTT broker也存储着通信频道(topics)清单。研究人员指出。通过MQTT broker发送的消息内置登录凭证,MQTT也注册了许多执行指令所需的callbacks。攻击者可利用漏洞访问MQTT取得密码等敏感信息,再结合其他漏洞以执行程序代码。
Claroty旗下的Team82安全团队发现MXview 5项漏洞,包括CVE-2021-38452、CVE-2021-38456、CVE-2021-38460、CVE-2021-38458和CVE-2021-38454。这5项漏洞涵盖类型包括路径访问、使用写死的密码、登录凭证的未防护传输、程序代码注入、访问管控不当,各自风险值为5.0到7.5之间。其中的CVE-2021-38452、CVE-2021-38454及CVE-2021-38458可被串联,而在运行MXview的主机上进行验证前RCE。
安全厂商进一步说明,CVE-2021-38452为路径穿越漏洞,使攻击者得以读取受保护的目录,取得MQTT登录凭证,而CVE-2021-38454和CVE-2021-38458则出在对ping调用加入的IP参数未妥善验证,使攻击者可以简单的ping调用OnMessage callback,而在MQTT broker注入恶意MQTT消息指令,并于MXview服务器上以NT AUTHORITY/SYSTEM权限执行任意程序代码。
根据CISA发出的安全公告,成功开采这些漏洞可让攻击者创建、执行或复写文件以执行程序代码、访问程序、取得登录凭证、关闭软件、读取及修改资料,进而远程连接内部通信频道,或是远程使用MQTT。
由于可远程开采,且攻击复杂度低,本批漏洞综合风险值因而一举被提高到满分的10.0。
受这批漏洞影响的MXview版本包括3.x到3.2.2。Moxa已经于去年9月发布3.2.4版(目前最新版本为3.2.6),呼吁用户尽快升级。
