发布时间:2021-05-19 13:35:09,来源:中国信息通信研究院
一、基本情况
近日,中国台湾摩莎(Moxa)公司发布公告,披露了VPort 06EC-2V系列的IP摄像机存在NULL指针引用漏洞(CVE-2021-25845)、整数溢出漏洞(CVE-2021-25846/CVE-2021-25849)、越界读取漏洞(CVE-2021-25847/CVE-2021-25848)。攻击者利用漏洞可对目标设备进行暴力攻击,从而导致设备不可用。目前官方已开发相关解决方案来解决以上漏洞,建议受影响用户及时联系Moxa技术支持获取漏洞安全补丁进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞等级
高危
三、 漏洞描述
1.NULL指针引用漏洞(CVE-2021-25845):
该设备的应用程序允许cookie参数仅由数字组成,从而使攻击者可绕过身份验证并获得对设备功能的访问权,进行暴力攻击,导致拒绝服务。
2. 整数溢出漏洞(CVE-2021-25846/CVE-2021-25849):
攻击者通过发送恶意的HTTP请求,成功利用该漏洞发起拒绝服务攻击,从而导致设备不可用。
3. 越界读取漏洞(CVE-2021-25847/CVE-2021-25848):
攻击者通过发送恶意的HTTP请求,成功利用该漏洞读取敏感信息,甚至可导致设备不可用。
四、 影响范围
Moxa VPort 06EC-2V系列固件版本 <1.1
五、 安全建议
建议受影响用户及时联系Moxa技术支持获取漏洞安全补丁进行防护。
六、 参考链接
https://www.moxa.com/en/support/product-support/security-advisory/vport-06ec-2v-series-ip-cameras-vulnerabilities