工業級VPN安全路由器存在重大漏洞，臺廠Moxa接獲通報並修補

VPN設備本身的安全性，正成為近年關注的一大焦點，日前，安全廠商Claroty的研究小組在7月28日公布Moxa、Secomea和HMS Networks的VPN產品，存在遠端程式碼執行（RCE）漏洞，而這些業者在接獲研究人員後，都已完成修補。

在此事件中，有一家業者是臺灣廠商，也就是四零四科技（Moxa），他們在7月16日已對此漏洞發布資安公告，說明接獲Claroty的通報，他們已經驗證了弱點並說明衝擊，同時，提供最新版EDR-G902與EDR-G903系列韌體修補連結，供用戶更新修補。

對此，我們也向該公司確認情況，該公司表示，這次發布的公告內容，就是Moxa對用戶的處置建議。另外，他們僅僅表示，在官網Security Advisory頁面的底部，提供RSS的方式供訂閱，以便即時收到公告，並會提供相關訊息給經銷商。

根據Moxa在資安公告中的說明，這次的弱點類型是堆疊型緩衝區溢位漏洞（CWE-121），漏洞編號為CVE-2020-14511。值得注意的是，這個漏洞在CVSS V3.1評分爲9.8分，接近滿分10分最高風險。一旦遭成功利用，惡意人士將可透過瀏覽器Cookie，在目標系統的網頁伺服器觸發記憶體堆疊區緩衝溢位。

關於影響範圍，該公司指出旗下兩款安全路由器產品受此弱點影響，分別是EDR-G902系列與EDR-G903系列。目前，他們也已經提供最新韌體修補（5.5版），用戶應儘速因應。