Moxa修補PT交換器重大漏洞

3月6日臺廠工控設備製造商四零四科技（Moxa）發布資安公告，指出PT系列交換器存在前臺授權邏輯洩露漏洞CVE-2024-12297，其資安風險4.0版CVSS風險評為9.2分（滿分10分），攻擊者能在未經授權的情況下遠端利用，相當危險，呼籲IT人員要儘速採取行動。我們也洽詢Moxa，想進一步了解這項弱點造成的影響，該公司表示：「目前尚未接到客戶有重大影響的反應。」

針對這項弱點發生的原因，Moxa表示出現在PT交換器授權機制，使得攻擊者在用戶端與後臺伺服器的驗證流程之間，有機會繞過身分驗證，執行暴力破解來猜出有效帳密，或發動拼湊MD5雜湊資料的攻擊，從而在未經授權的情況下存取敏感組態資訊，或是造成服務中斷。