Идентификатор: BDU:2022-06738.
Наименование уязвимости: Уязвимость микропрограммного обеспечения промышленных LTE-модемов серии Moxa OnCell G3150A-LTE, OnCell G3470A-LTE и WDR-3124A и микропрограммного обеспечения беспроводных точек доступа для промышленных систем Moxa AWK-3131A, AWK-4131A, AWK-1131A и AWK-1137C, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю реализовать атаку методом «грубой силы» (brute force).
Описание уязвимости: Уязвимость микропрограммного обеспечения промышленных LTE-модемов серии Moxa OnCell G3150A-LTE, OnCell G3470A-LTE и WDR-3124A и микропрограммного обеспечения беспроводных точек доступа для промышленных систем Moxa AWK-3131A, AWK-4131A, AWK-1131A и AWK-1137C связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку методом «грубой силы» (brute force)
Уязвимое ПО: ПО сетевого программно-аппаратного средства Moxa Inc. Moxa OnCell G3470A-LTE до 1.7 включительно | Микропрограммный код Moxa Inc. WDR-3124A Series до 1.3 включительно | Микропрограммный код Moxa Inc. TAP-323 Series до 1.3 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Moxa Inc. Moxa OnCell G3150A-LTE до 1.5 включительно | ПО сетевого программно-аппаратного средства Moxa Inc. Moxa AWK-3131A до 1.16 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Moxa Inc. Moxa AWK-4131A до 1.16 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Moxa Inc. Moxa AWK-1131A до 1.22 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Moxa Inc. Moxa AWK-1137C до 1.6 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства Moxa Inc. Moxa TAP-213 до 1.2 включительно |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 30.12.2021.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению:
Использование рекомендаций:
https://moxa.ru/novosti/tidings/prod/ustranenie-uyazvimostej-ustrojstv-oncell-g3150a-g3470a-i-wdr-3124a/
https://www.moxa.com/en/support/product-support/security-advisory/awk-3131a-4131a-1131a-1137c-wireless-ap-bridge-client-vulnerabilities
Орагнизационные меры:
Пользователям рекомендуется отключить службу Moxa Service (moxa-service), используя конфигуративные настройки.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-37754.
Тип ошибки CWE: CWE-307
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://moxa.ru/novosti/tidings/prod/ustranenie-uyazvimostej-ustrojstv-oncell-g3150a-g3470a-i-wdr-3124a/
https://www.dragos.com/advisory/moxa-multiple-vulnerabilities-2/
https://www.moxa.com/en/support/product-support/security-advisory/oncell-g3150a-g3470-wdr-3124a-cellular-gateways-router-vulnerabilities
https://www.moxa.com/en/support/product-support/security-advisory/awk-3131a-4131a-1131a-1137c-wireless-ap-bridge-client-vulnerabilities
