Hai cảnh báo bảo mật riêng biệt đã tiết lộ những lỗ hổng lớn trong các thiết bị mạng công nghiệp của Moxa – một công ty mạng tự động hóa công nghiệp. Trong trường hợp thứ nhất, kẻ tấn công có thể gửi các lệnh đến hệ điều hành của thiết bị bằng cách sử dụng chúng như một tên người dùng trong quá trình đăng nhập. Trong trường hợp thứ hai, khoá cá nhân cho một máy chủ Web được sử dụng để quản lý các thiết bị mạng có thể được lấy thông qua yêu cầu HTTP GET.

Phát hiện lỗ hổng trong thiết bị mạng công nghiệp của Moxa

 

Cisco Talos tiết lộ rằng lỗ hổng đầu tiên nằm trong thiết bị mạng công nghiệp của Moxa – AWK-3131A 802.11n. Lỗ hổng này có thể hoạt động như một điểm truy cập, cầu nối, hoặc thiết bị khách. Lợi dụng các cách xác thực khác nhau người dùng cho nhiều tính năng hoạt động như sử dụng công cụ “loginutils” của hệ điều hành Busybox. Tin tặc sử dụng tên người dùng từ những lần đăng nhập không thành công và xử lý chúng để có thể chèn các lệnh dòng lệnh vào – bằng cách dùng dấu phân cách để tách lệnh ra khỏi phần còn lại của dòng lệnh output.

Patrick DeSantis và Dave McDaniel của Cisco Talos đã viết trong báo cáo của họ rằng: “Việc khai thác lỗ hổng này trong thiết bị mạng công nghiệp của Moxa đã được xác nhận thông qua Telnet, SSH và cổng điều khiển cục bộ”. “Họ nghi ngờ các ứng dụng web cũng có thể bị tổn thương vì nó dựa vào loginutils, và kiểm tra nhị phân iw_event_user cho thấy các thông báo ‘không thành công’ đối với ‘WEB,’ TELNET, ‘và’ SSH.’”

Cisco Talos tiết lộ lỗ hổng với Moxa vào tháng 12 năm 2017. Moxa đã phát hành bản vá vào ngày 3 tháng 4.

Lỗ hổng thứ hai nằm trong phần mềm quản lý mạng MXview của Moxa, đã được công bố như một lời cảnh báo từ ICS-CERT của Bộ An ninh Nội địa Hoa Kỳ. MXview có một máy chủ Web tích hợp để cho phép việc truy cập từ xa vào dữ liệu quản lý mạng. Lỗ hổng được phát hiện bởi Michael DePlante thuộc Trung tâm Nghiên cứu Kỹ thuật số của Leahy tại Champlain College, cho phép kẻ tấn công xem khoá riêng cho máy chủ. Một lỗ hổng khác trong cùng một phần mềm được công bố hồi tháng 1 cho phép kẻ tấn công sử dụng một “đường dẫn tìm kiếm chưa được trích dẫn” từ một trình duyệt web để truy cập vào các tập tin hoặc thực thi mã tùy ý trên máy chủ.

Thông thường, những loại hệ thống này sẽ được ngăn cách khỏi Internet, và theo khuyến nghị của DHS cho cả hai lỗ hổng này là “giảm thiểu sự tiếp xúc mạng cho tất cả các thiết bị điều khiển hệ thống và/hoặc hệ thống để đảm bảo rằng chúng không thể truy cập vào từ Internet “, cũng như phân chia các hệ thống kiểm soát công nghiệp từ mạng lưới kinh doanh. Moxa đã phát hành một phiên bản MXview mới để vá những lỗ hổng.