In Moxa's MXview industriële netwerkbeheersoftware zijn de afgelopen maanden verschillende kwetsbaarheden gevonden, waaronder enkele die als "kritiek" zijn beoordeeld.
Onderzoekers van het industriële en IoT-cybersecuritybedrijf Claroty hebben vijf soorten kwetsbaarheden ontdekt. Ze waren versteld in september 2021 met de release van versie 3.2.4, maar hun details werden vorige week bekendgemaakt door Claroty. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) publiceerde een adviserend in oktober 2021 om organisaties te waarschuwen voor deze gebreken.
Moxa MXview is een webgebaseerd netwerkbeheersysteem dat is ontworpen voor het configureren, bewaken en diagnosticeren van netwerkapparaten in industriële netwerken. Met het product kunnen gebruikers apparaten beheren via een webbrowser, ook vanaf lokale of externe sites.
"Een aanvaller kan misbruik maken van een niet-gepatchte Moxa-server door verschillende kwetsbaarheden die we hebben ontdekt aan elkaar te koppelen om code op afstand uit te voeren", zegt Noam Moshe, kwetsbaarheidsonderzoeker bij Claroty. SecurityWeek.
“Netwerkbeheersystemen zoals MXview zorgen niet alleen voor detectie van netwerkapparaten en verbindingen, maar beheerders gebruiken het ook om configuraties en firmware-updates voor Moxa-apparaten op het netwerk centraal te beheren. Een aanvaller met dit soort toegang kan deze configuraties manipuleren om processen te veranderen en de apparaatintegriteit aan te tasten”, legt Moshe uit.
Claroty heeft een verkeerd geconfigureerde service geïdentificeerd waardoor een aanvaller misbruik kan maken van het MQTT-berichtenprotocol, dat doorgaans wordt gebruikt voor IoT en machine-to-machine (M2M)-toepassingen.
De onderzoekers van het cyberbeveiligingsbedrijf identificeerden ook een fout die door een niet-geverifieerde aanvaller kan worden gebruikt om elk bestand van het beoogde besturingssysteem te lezen, inclusief bestanden die duidelijke tekstconfiguraties en wachtwoorden bevatten, inclusief het wachtwoord voor de MQTT-makelaar.
Een ander beveiligingslek kan worden misbruikt voor het niet-geverifieerd uitvoeren van opdrachten op afstand. Door een zeer ernstige zwakte kan een niet-geverifieerde gebruiker willekeurige bestanden op de hostserver schrijven.
Claroty heeft uitgelegd in haar blogpost hoe sommige van deze kwetsbaarheden kunnen worden geketend door een niet-geverifieerde aanvaller op afstand voor het uitvoeren van willekeurige code met verhoogde bevoegdheden.
Cisco's Talos-bedreigingsinformatie en onderzoekseenheid onthuld twee Moxa MXview-kwetsbaarheden vorige week, inclusief een kritieke kwetsbaarheid voor het omzeilen van authenticatie die kan worden misbruikt door speciaal vervaardigde HTTP-verzoeken te verzenden.
De tweede beveiligingsbug is geclassificeerd als middelzwaar en kan een aanvaller in staat stellen mogelijk gevoelige informatie te verkrijgen door netwerkverkeer te snuiven.
De kwetsbaarheden die door Talos zijn ontdekt, zijn onlangs verholpen met de release van versie 3.2.6. Moxa publiceerde een adviserend op 11 februari en op maandag instructies gegeven voor het updaten van MXview.
Zie ook: Kwetsbaarheden in Moxa-netwerkapparaat stellen industriële omgevingen bloot aan aanvallen
Zie ook: Door gebreken in Moxa-spoorwegapparatuur kunnen hackers storingen veroorzaken
Zie ook: Profinet-kwetsbaarheid stelt Siemens en Moxa-apparaten bloot aan DoS-aanvallen
Eduard Kovacs (@EduardKovacs) is een bijdragende redacteur bij SecurityWeek. Hij werkte twee jaar als IT-docent op een middelbare school voordat hij een carrière in de journalistiek begon als Softpedia's beveiligingsjournaalverslaggever. Eduard heeft een bachelordiploma in industriële informatica en een masterdiploma in computertechnieken toegepast in elektrotechniek.
Tags:
