В мае 2021 года на официальном сайте компании MOXA (Тайвань) на странице ("moxa.com/en/support/product-support/security-advisory/nport-iaw5000a-io-serial-device-server-vulnerabilities") сообщалось об обнаруженных уязвимостях в преобразователях серии MOXA NPort IAW5000A-I/O.

Выявленным уязвимостям подвержены устройства серии MOXA NPort IAW5000A-I/O с прошивками 2.2 и ниже.

Описание уязвимостей:

1. 1. Переполнение буфера (CWE-120) BDU:2021-02699, BDU:2021-02702
2. 2. Переполнение буфера в стеке (CWE-121) BDU:2021-02700, BDU:2021-02701, BDU:2021-02703, BDU:2021-02704, BDU:2021-02708
3. 3. Некорректная проверка входных данных (CWE-20) BDU:2021-02705, BDU:2021-02706
4. 4. Внедрение команд ОС (CWE-78) BDU:2021-02707

Для устранения уязвимости, пожалуйста, установите на своих устройствах исправленную версию прошивки:  Firmware для MOXA NPort IAW5000A-I/O (версия 2.2.3 от 02.02.2021),

 адрес для скачивания:  (moxa.ru/files/drivers_utilities_3/iaw5x50a_io_2.2.3_Build_21020213.rom).

Администрация компании MOXA выражает свою благодарность: Константину Кондратьеву, Евгению Дружинину и Илье Карпову из компании "Rostelecom-Solar" за сообщение о данных уязвимостях, за сотрудничество в целях повышения безопасности устройств и за помощь в улучшении качества обслуживания пользователей.

Для предоставления актуальной информации и во избежание недоразумений на сайте компании MOXA, на странице "Security Advisories" (адрес: moxa.com/en/support/product-support/security-advisory) опубликована вся самая свежая информация о найденных уязвимостях и способах их устранения.

Информация о наиболее критичных уязвимостях будет в дальнейшем появляться и на русскоязычном сайте компании.

Пользуйтесь оборудованием торговой марки MOXA с удовольствием, но не забывайте периодически проверять обновления. И, конечно же, обращайтесь  в компанию-изготовитель за любыми консультациями!