Moxa MiiNePort设备因可进行非授权访问，而导致数据泄露

 近日，在一份由工控系统网络应急小组（ICS-CERT）提交的报告，以及网络安全研究员Karm Ganeshen所写的一篇博客中，都同时提到：在Moxa（摩莎）公司生产的嵌入式设备服务器中存在几个明显的安全漏洞，给用户的使用带来了很大的安全隐患。

Moxa是*一家致力于发展及制造信息互联网产品的科技公司，产品主要有工业以太网交换机、串口服务器以及Moxa多串口卡等。

ICS-CERT在报告中提到：2016年5月底，Moxa将会发布一个测试版补丁固件。

网络安全研究员Karm Ganeshen是ICS-CERT中一位出色的安全漏洞猎手。他发现，在Moxa生产的设备中，存在几个安全漏洞。Moxa所生产的嵌入式串口服务器主要应用于工业领域。而这些漏洞会允许黑客进行未授权访问，同时会泄露一些以明文形式存储的重要工业数据。Ganeshen指出，在MiiNePort的E1、E2和E3三个版本中，都存在漏洞。具体说来，即：MiiNePort_E1_7080固件（版本号：1.1.10，出厂号：09120714）、MiiNePort_E1_4641固件（版本号：1.1.10，出厂号：09120714）、MiiNePort_E2_1242固件（版本号：1.1.，出厂号：10080614）、MiiNePort_E2_4561固件（版本号：1.1，出厂号：10080614）、MiiNePort_E3固件（版本号：1.0，出厂号：11071409）等。以上这些是具体的问题版本，还需对其他版本的服务器固件引起重视，因为它们也可能存在类似的安全风险。

ICS-CERT在报告中指出：“我们发现了这些漏洞，而黑客同样也能做到。他们可利用这些漏洞，未经过授权，便可对设备进行访问；同时，还可进行修改密码和设备配置参数、保存修改后的设置、对设备进行重启等非法操作。”

一般说来，这些漏洞的出现就是ICS（互联网连接共享）和SCADA（数据采集与监视控制系统）缺乏安全保护机制的典型表现。例如：在默认情况下，MiiNePort就没有用户密码保护机制。

Ganeshen在博文中说道：“这就使得任何人都可通过HTTP协议或Telnet（远程登录）来访问设备，同时还能获得设备的所有管理员权限。”

同时，他强烈建议，应在MiiNePort设备中增加一个强制的密码管理机制，来进行密码保护。当用户第一次登录设备时，就锁定该密码。该机制还会要求用户将密码设置的较为复杂，以防止其轻易遭到黑客破解；并要求用户定期更换密码。

“同时，我利用漏洞，解密了一些用户的密码。并且发现SNMP（简单网络管理协议）中的字符数据并未受到保护，并以明文形式进行保存。黑客可通过HTTP或Telnet的方式，将其盗取。在数据传输过程中，TLS（安全传输层协议）也没有规定具体的安全信息。” Ganeshen说到。同时，他还指出，应对用户密码以及设备的配置参数等敏感信息，进行加密处理，并实行便携式的管理。

Ganeshen提到：在上述的问题设备中，还存在CSRF（跨站请求伪造）漏洞。

“目前，在设备中还未发现由CSRF产生的任何的病毒网页或攻击存在，但我们不能对此掉以轻心。”他再次引用了ICS-CERT报告中的一段话，来提醒用户需对此引起重视。“我们发现了这些漏洞，而黑客同样也能做到。他们可利用这些漏洞，未经过授权，便可对设备进行访问；同时，还可进行修改密码和设备配置参数、保存修改后的设置、对设备进行重启等非法操作。”

ICS-CERT指出，目前大众还未意识到这些安全漏洞的危害。在我们看来，即便是一名初级的黑客，都可以利用这些漏洞，对用户实施攻击。

报告中提到：Moxa公司已经发出通知，要求用户关闭串口服务器中的TCP/80端口和TCP/23端口。同时表示，用户必须确保在安全的系统中，才能使用UDP/161端口、UDP/4880端口以及TCP/4900端口。并且对UDP/4800和TCP/4900等会影响系统远程管理的端口，进行了限制使用处理。ICS-CERT还补充了一条暂时性的防护措施，即：对于某些用户，应允许其使用新密码。