Moxa為交換器修補前端授權邏輯造成的資訊洩露漏洞

臺灣工控設備製造商四零四科技（Moxa）於2月4日發布資安公告，指出旗下的TN-A與TN-G系列的部分型號交換器存在CVE-2024-12297，此為前端授權邏輯造成的資訊洩漏弱點，CVSS v4.0風險評為9.2分（滿分10分），危害程度屬於重大等級（Critical），該公司呼籲用戶應儘速套用新版韌體因應。我們也向四零四科技進一步詢問，該公司表示，目前尚未收到漏洞被利用的訊息。

針對這項漏洞，四零四科技表示起因是交換器的授權機制存在缺陷，有可能被繞過身分驗證流程。他們提及即便用戶端與後端有相關驗證機制，攻擊者還是有機會透過暴力破解手法猜出有效憑證，或是利用MD5雜湊值碰撞攻擊手法，偽造身分驗證所需的雜湊值，進而危及交換器的安全。

對於漏洞影響的範圍，他們指出TN-4500A與TN-5500A系列的交換器，若是搭配4.1版之前的韌體，就有可能受到影響；TN-G4500與TN-G6500系列交換器，只要採用5.5版之前的韌體，也會存在這項弱點。

值得留意的是，四零四科技去年曾為另一個產品線修補這個漏洞，去年3月，他們指出PT系列交換器存在CVE-2024-12297，並表示攻擊者可能在未經授權的情況下，得以存取敏感組態資訊，或是造成服務中斷。