近日,在一份由工控系统网络应急小组(ICS-CERT)提交的报告,以及网络安全研究员Karm Ganeshen所写的一篇博客中,都同时提到:在Moxa(摩莎)公司生产的嵌入式设备服务器中存在几个明显的安全漏洞,给用户的使用带来了很大的安全隐患。
Moxa是台湾一家致力于发展及制造信息互联网产品的科技公司,产品主要有工业以太网交换机、串口服务器以及Moxa多串口卡等。
ICS-CERT在报告中提到:2016年5月底,Moxa将会发布一个测试版补丁固件。
网络安全研究员Karm Ganeshen是ICS-CERT中一位出色的安全漏洞猎手。他发现,在Moxa生产的设备中,存在几个安全漏洞。Moxa所生产的嵌入式串口服务器主要应用于工业领域。而这些漏洞会允许黑客进行未授权访问,同时会泄露一些以明文形式存储的重要工业数据。Ganeshen指出,在MiiNePort的E1、E2和E3三个版本中,都存在漏洞。具体说来,即:MiiNePort_E1_7080固件(版本号:1.1.10,出厂号:09120714)、MiiNePort_E1_4641固件(版本号:1.1.10,出厂号:09120714)、MiiNePort_E2_1242固件(版本号:1.1.,出厂号:10080614)、MiiNePort_E2_4561固件(版本号:1.1,出厂号:10080614)、MiiNePort_E3固件(版本号:1.0,出厂号:11071409)等。以上这些是具体的问题版本,还需对其他版本的服务器固件引起重视,因为它们也可能存在类似的安全风险。
ICS-CERT在报告中指出:“我们发现了这些漏洞,而黑客同样也能做到。他们可利用这些漏洞,未经过授权,便可对设备进行访问;同时,还可进行修改密码和设备配置参数、保存修改后的设置、对设备进行重启等非法操作。”
一般说来,这些漏洞的出现就是ICS(互联网连接共享)和SCADA(数据采集与监视控制系统)缺乏安全保护机制的典型表现。例如:在默认情况下,MiiNePort就没有用户密码保护机制。
Ganeshen在博文中说道:“这就使得任何人都可通过HTTP协议或Telnet(远程登录)来访问设备,同时还能获得设备的所有管理员权限。”
同时,他强烈建议,应在MiiNePort设备中增加一个强制的密码管理机制,来进行密码保护。当用户第一次登录设备时,就锁定该密码。该机制还会要求用户将密码设置的较为复杂,以防止其轻易遭到黑客破解;并要求用户定期更换密码。
“同时,我利用漏洞,解密了一些用户的密码。并且发现SNMP(简单网络管理协议)中的字符数据并未受到保护,并以明文形式进行保存。黑客可通过HTTP或Telnet的方式,将其盗取。在数据传输过程中,TLS(安全传输层协议)也没有规定具体的安全信息。” Ganeshen说到。同时,他还指出,应对用户密码以及设备的配置参数等敏感信息,进行加密处理,并实行便携式的管理。
Ganeshen提到:在上述的问题设备中,还存在CSRF(跨站请求伪造)漏洞。
“目前,在设备中还未发现由CSRF产生的任何的病毒网页或攻击存在,但我们不能对此掉以轻心。”他再次引用了ICS-CERT报告中的一段话,来提醒用户需对此引起重视。“我们发现了这些漏洞,而黑客同样也能做到。他们可利用这些漏洞,未经过授权,便可对设备进行访问;同时,还可进行修改密码和设备配置参数、保存修改后的设置、对设备进行重启等非法操作。”
ICS-CERT指出,目前大众还未意识到这些安全漏洞的危害。在我们看来,即便是一名初级的黑客,都可以利用这些漏洞,对用户实施攻击。
报告中提到:Moxa公司已经发出通知,要求用户关闭串口服务器中的TCP/80端口和TCP/23端口。同时表示,用户必须确保在安全的系统中,才能使用UDP/161端口、UDP/4880端口以及TCP/4900端口。并且对UDP/4800和TCP/4900等会影响系统远程管理的端口,进行了限制使用处理。ICS-CERT还补充了一条暂时性的防护措施,即:对于某些用户,应允许其使用新密码。