铁路网络安全警报--台湾摩莎(Moxa)公司生产的铁路设备存在批量漏洞,黑客可对设备实施操控或破坏
2021-09-16
来源:网空闲话
SecurityWeek9月2日报道,台湾工业网络和自动化公司Moxa生产的铁路和其他类型的无线通信设备受到近60个漏洞的影响。Atos(阿托斯)旗下的网络安全咨询公司SEC Consult本周透露,该公司的一名研究人员在Moxa设备上发现了两个新的漏洞,以及几个过时的第三方软件组件,在这批组件上发现了数十个漏洞。
SEC咨询公司的通告指出,MOXA设备存在多个漏洞。
各种设备的以下固件版本已被确定为易受攻击:
WAC-2004 / 1.7
WAC-1001 / 2.1
WAC-1001-T / 2.1
OnCell G3470A-LTE-EU / 1.7
OnCell G3470A-LTE-EU-T / 1.7
TAP-323-EU-CT-T / 1.3
TAP-323-US-CT-T / 1.3
TAP-323-JP-CT-T / 1.3
WDR-3124A-EU / 2.3
WDR-3124A-EU-T / 2.3
WDR-3124A-US / 2.3
WDR-3124A-US-T / 2.3
据百度百科显示,台湾moxa科技股份有限公司,大陆通称摩莎,致力于发展及制造信息联网产品,提供客户具成本效益且稳定性高的串口通信解决方案、串口设备联网解决方案、及工业以太网解决方案。事实,Moxa将大部分的研发力量均集中在串口设备联网及以太网交换的技术上,因为使用以太网作为传输主干已成为趋势。除此之外,Ethernet LAN已在全球普及,即使是非网络专业人员也能轻松地设置以太网通讯应用。
摩莎公司中文官网显示,该公司全系列产品均可在大陆销售。
据SEC Consult称,Moxa设备存在命令注入漏洞(CVE-2021-39279),可被身份验证的攻击者利用该漏洞破坏设备的操作系统,以及反映跨站脚本漏洞(CVE-2021-39278),可通过特殊制作的配置文件利用该漏洞。
Moxa铁路设备漏洞该产品还受到超过50个其他漏洞的影响,这些漏洞是在过去十年中发现的第三方组件,如GNU C库(glibc), BusyBox中的DHCP客户端,Dropbear SSH软件,Linux内核和OpenSSL。
Moxa针对这些漏洞发布了两份单独的警告。其中之一描述了对TAP-323、WAC-1001和WAC-2004系列设备的影响,这些设备是为铁路设计的。TAP-323设备是为列车对地无线通信而设计的轨道旁无线接入点,而WAC设备被描述为轨道无线接入控制器。
Moxa正在为TAP-323和WAC-1001产品提供可用的补丁,但WAC-2004系列设备已经停产,供应商建议客户实施缓解措施,以降低被利用的风险。
向Moxa报告这些漏洞的SEC咨询公司研究员托马斯?韦伯(Thomas Weber)告诉《安全周刊》(SecurityWeek),虽然他们还没有进行分析,以确定跨站攻击和命令注入漏洞是否可以串联起来,但他认为这是有可能的。攻击者需要诱骗经过身份验证的用户单击一个链接,该链接将触发XSS以获得在系统上进行身份验证所需的信息,并利用命令注入。
如果攻击者获得了对受影响设备的web管理界面的访问权,并且获得了登录凭据(可以通过各种方法获得登录凭据),那么他们就能够通过持久访问接管整个设备。
Weber说:“你只需要设备凭证来使用命令注入,然后你就可以访问内部网络。”
当被问及对铁路运营的具体影响时,研究人员表示,黑客可能造成的破坏很难估计,但这取决于“通过该设备发送的信息的关键程度”。
命令注入漏洞可能允许经过身份验证的攻击者通过永久性地阻塞设备来中断无线通信。攻击者也可以简单地从web界面关闭设备。
Moxa的WDR-3124A系列无线路由器和OnCell的G3470A-LTE系列工业蜂窝网关也受到了同样的60个漏洞的影响。供应商已经针对这些产品发布了单独的建议。只针对蜂窝网关发布了补丁,但对使用已停产产品的组织提供了缓解措施。
韦伯指出,虽然在大多数情况下,攻击需要访问目标设备所在的网络,但根据Shodan的搜索,大约60个受影响的蜂窝网关可能会受到来自互联网的攻击。
该批漏洞再次提醒用户,第三方组件的漏洞在历史上是非常普遍的供应链问题,未来必须加以重视。此外,一些老旧设备、系统,不再受厂商的技术支持,如何管控这类在用的设备必须重点关注。对于这类存量的网络威胁,坚持基础的网络卫生是非常必要的。