정보센터

보안권고

게시물 상세
Moxa ThingsPro 2 Series 제품 보안 업데이트 권고
작성자 : a3security  작성일 : 2019.02.07   조회수 : 9666
첨부파일 A3-AEGIS-20190201-01[MIDDLE] Moxa ThingsPro 2 Series 제품 보안 업데이트 권고.pdf


□ 개요


 o Moxa 스카다 시스템 또는 IoT 제품의 원격 관리를 위해 사용하는 ThingsPro 2 Series 플랫폼의 보안 업데이트 발표


 o 영향 받는 제품을 이용할 경우 시스템 권한 탈취, 네트워크 침투 등의 공격에 노출될 수 있어 최신 버전으로 업데이트 권고


□ 설명


CVE

 취약점 유형

설명

CVE-2018-18390

사용자 정보 노출

시스템에 등록된 사용자 정보 노출

CVE-2018-18391

권한 상승

관리자 권한 획득

CVE-2018-18392

취약한 접근 통제 

관리자 권한 획득

CVE-2018-18393

취약한 비밀설정 설정

신규 비밀번호 설정 시
기존 비밀번호를 요구하지 않음

CVE-2018-18394

중요 정보 평문 저장

중요 정보를 암호화하지 않은 채 보관

CVE-2018-18395

권한 상승

관리자 권한 획득 후 임의 명령어 실행

CVE-2018-18396

원격코드실행

시스템 명령어 삽입 및 실행 


□ 영향을 받는 제품 및 버전


 o ThingsPro 2 Series  소프트웨어 버전 2.1 또는 이하


□ 해결 방안


 o ThingsPro 2 Series의 사용자 비밀번호를 8자리3조합 이상의 안전한 비밀번호로 변경하여 사용


 o ThingsPro 2 Series의 펌웨어를 최신버전(2.3 이상)으로 업데이트 수행


 [참고사이트]


[1] https://www.moxa.com/en/support/product-support/security-advisory/thingspro-2-series-system-software-vulnerabilities

[2] https://ics-cert.kaspersky.com/reports/2019/01/22/security-research-thingspro-suite-iiot-gateway-and-device-manager-by-moxa/
이전글 유비쿼티 제품 DDoS 증폭 공격 악용 가능 취약점 주의 권고
다음글 MS Exchange Server 보안 취약점 주의 권고
리스트
TOPTOP