臺廠Moxa部分工業用路由器、防火牆存在重大漏洞，已發布新版韌體修補

1月3日臺灣工控設備製造商四零四科技（Moxa）發布資安公告，指出旗下部分行動通訊路由器、安全路由器、網路安全設備存在提升權限漏洞CVE-2024-9138，以及命令注入漏洞CVE-2024-9140，對此，該公司發布新版韌體修補。

根據CVSS風險評分，評為重大層級的CVE-2024-9140應優先處理，此為命令管制不當產生的漏洞，攻擊者有機會發動作業系統層級的命令注入攻擊，而有可能於受害設備執行任意程式碼，風險評為9.8（4.0版CVSS風險為9.3）。

另一個漏洞CVE-2024-9138涉及寫死的帳密，攻擊者若是通過身分驗證，就有機會利用漏洞來提升權限，並以root等級存取受害系統，CVSS風險為7.2（4.0版評為8.6）。

對於這些漏洞的影響範圍，包括資安路由器EDR-810、EDR-8010、EDR-G902、EDR-G9004、EDR-G9010、NAT-102系列，防火牆設備EDF-G1002-BP系列，以及無線寬頻通訊路由器OnCell G4302-LTE4、軌道車輛路由器TN-4900系列機種。目前該公司對上述大部分產品均提供新版韌體，但Moxa也坦承NAT-102系列尚未正式提供，提醒用戶應採取緩解措施因應，例如，盡可能不要直接暴露在網際網路，透過防火牆僅開放特定受信任IP位址的電腦，以SSH存取具有弱點的設備，以及建置網路入侵偵測系統（IDS）或防禦系統（IPS）進行漏洞濫用行為的偵測與阻攔。

針對這些漏洞帶來的影響，我們也向Moxa進一步了解，該公司表示他們發布新版韌體後，目前尚未接到客戶有重大影響的反映。