Moxa MXview网络管理软件中报告的严重安全缺陷

有关影响Moxa MXview基于网络的网络管理系统的若干安全漏洞的技术细节已被披露，其中一些漏洞可能被未经认证的对手链接，以在未修补的服务器上实现远程代码执行。

Claroty安全研究人员Noam Moshe在本周发布的一份报告中说，这五个安全漏洞“可能允许未经验证的远程攻击者以可用的最高权限在主机上执行代码：NT AUTHORITY\SYSTEM”。

Moxa MXview设计用于配置、监控和诊断工业网络中的网络设备。影响版本3的缺陷。网络管理软件的X-3.2.2在2021年10月的协调披露过程中在3.2.4版或更高版本中被纠正。

“成功利用这些漏洞可能使攻击者能够创建或覆盖关键文件，以执行代码、访问程序、获取凭据、禁用软件、读取和修改无法访问的数据、允许远程连接到内部通信通道，或远程交互和使用MQTT，”美国。网络安全和基础设施安全局（CISA）在一份咨询报告中表示。

MQTT指的是一种消息传递协议，它有助于远程异步通信，支持在MXview环境中与不同组件之间传输消息。

The list of flaws is as follows —

• CVE-2021-38452（CVSS分数：7.5）-应用程序中的路径遍历漏洞，允许访问或覆盖用于执行代码的关键文件
• CVE-2021-38454（CVSS分数：10.0）-一种配置错误的服务，允许远程连接到MQTT，使远程交互和使用通信通道成为可能
• CVE-2021-38456（CVSS分数：9.8）-使用硬编码密码
• CVE-2021-38458（CVSS分数：9.8）-特殊元素中和不当的问题，可能导致远程执行未经授权的命令
• CVE-2021-38460（CVSS分数：7.5）-密码泄漏的情况，可能允许攻击者获取凭据

上述三个缺陷—；CVE-2021-38452、CVE-2021-38454和CVE-2021-38458可以串联在一起，在具有系统权限的易受攻击的MXView实例上实现预认证的远程代码执行。

在Claroty设计的假设攻击场景中，CVE-2021-38452可能被滥用，通过读取配置文件获取明文MQTT密码。ini，然后利用CVE-2021-38454注入恶意MQTT消息，通过服务器上的命令注入触发代码执行。

“攻击者直接向MQTT代理注入恶意消息，绕过服务器执行的所有输入验证，并通过OS命令注入漏洞实现任意远程代码执行，”Moshe解释道。