Moxa 提醒用户注意蜂窝路由器和安全路由器中的高危漏洞

总部位于台湾的 Moxa警告称，其蜂窝路由器、安全路由器和网络安全设备存在两个安全漏洞，可能导致权限提升和命令执行。

漏洞列表如下：

CVE-2024-9138（CVSS 4.0 评分：8.6） - 一种硬编码凭证漏洞，可能允许经过身份验证的用户提升权限并获得系统的根级访问权限，从而导致系统入侵、未经授权的修改、数据泄露或服务中断
CVE-2024-9140（CVSS 4.0 评分：9.3） - 该漏洞允许攻击者利用特殊字符绕过输入限制，从而可能导致未经授权的命令执行
安全研究员 Lars Haulin 报告称，这些缺陷影响以下产品和固件版本 -

CVE-2024-9138 - EDR-810 系列（固件版本 5.12.37 及更早版本）、EDR-8010 系列（固件版本 3.13.1 及更早版本）、EDR-G902 系列（固件版本 5.7.25 及更早版本）、EDR-G902 系列（固件版本 5.7.25 及更早版本）、EDR-G9004 系列（固件版本 3.13.1 及更早版本）、EDR-G9010 系列（固件版本 3.13.1 及更早版本）、EDF-G1002-BP 系列（固件版本 3.13.1 及更早版本）、NAT-102 系列（固件版本 1.0.5 及更早版本）、OnCell G4302-LTE4 系列（固件版本 3.13 及更早版本）以及 TN-4900 系列（固件版本 3.13 及更早版本）更早）
CVE-2024-9140 - EDR-8010 系列（固件版本 3.13.1 及更早版本）、EDR-G9004 系列（固件版本 3.13.1 及更早版本）、EDR-G9010 系列（固件版本 3.13.1 及更早版本）、EDF-G1002-BP 系列（固件版本 3.13.1 及更早版本）、NAT-102 系列（固件版本 1.0.5 及更早版本）、OnCell G4302-LTE4 系列（固件版本 3.13 及更早版本）和 TN-4900 系列（固件版本 3.13 及更早版本）

已为以下版本提供补丁 -

EDR-810 系列（升级至固件版本 3.14 或更高版本）
EDR-8010 系列（升级至固件版本 3.14 或更高版本）
EDR-G902 系列（升级至固件版本 3.14 或更高版本）
EDR-G903 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9004 系列 (升级至固件版本 3.14 或更高版本)
EDR-G9010 系列 (升级至固件版本 3.14 或更高版本)
EDF-G1002-BP系列（升级至固件版本3.14或更高版本）
NAT-102 系列（无官方补丁可用）
OnCell G4302-LTE4 系列（请联系 Moxa 技术支持）
TN-4900 系列（请联系 Moxa 技术支持）
作为缓解措施，建议确保设备不暴露在互联网上，使用防火墙规则或 TCP 包装器限制对受信任的 IP 地址和网络的 SSH 访问，并采取措施检测和防止利用尝试。