موکزا؛ سازنده سوئیچ‌های آسیب‌پذیر

به گزارش واحد متخصصین سایبربان؛ شرکت موکزا (Moxa) یک شرکت تایوانی (Taiwan) است که دفاتر این شرکت در کشورهای آمریکا، هند، آلمان، فرانسه، چین، روسیه و برزیل است.
نمونه EDS-405A/408A با 8 پورت ورودی، از طراحی‌های موفق این صنعت بوده است. این سوئیچ مدیریت‌های پشتیبانی سوئیچ ازجمله حلقه توربو، زنجیره‌ ها، جفت حلقه، پایه ورودی VLAN، QoS، RMON، مدیریت پهنای باند، پورت‌های معکوس و هشدار از طریق ایمیل یا رله را پشتیبانی می‌کند.
این سوئیچ‌ها در حوزه‌های مختلفی مورداستفاده قرار می‌گیرند مانند کارخانجات مواد شیمیایی، تأسیسات تجاری، تولیدات حیاتی، خدمات اضطراری، انرژی، مواد غذایی و کشاورزی، تأسیسات دولتی و سامانه‌های آب و فاضلاب است. این شرکت برآورد کرده است که اکثر محصولات آسیب‌پذیر در سراسر دنیا مورداستفاده قرار می‌گیرند؛ اما این محصولات به‌صورت متمرکز در کشور‌های آمریکا، اروپا، شیلی، آرژانتین، پرو، کلمبیا و تایوان مورد استفاده قرارگرفته است. گفتنی است که 50 تا 60 درصد از فروش این محصولات در آمریکا مورداستفاده قرار می‌گیرند.
محققان امنیتی آسیب‌پذیری در سوئیچ‌های صنعتی موکزا سری EDS-405A/EDS-408A را کشف کردند. این شرکت به منظور کاهش آسیب‌پذیری‌های گزارش‌شده، سفت افزارهای (firmware) مربوطه را به‌روزرسانی کرده است. این آسیب‌پذیری‌ قابلیت بهره‌برداری از راه دور را دارد.
تشریح آسیب‌پذیری
مدیریت ناقص سطح دسترسی‌ها
آسیب‌پذیری افزایش سطح دسترسی سوئیچ‌های صنعتی توسط رابط وب اداری این شرکت پیدا شد. حساب کاربرانی که سطح‌بندی شده‌اند به‌صورت پیش‌فرض دسترسی فقط خواندنی به رابط وب دارند. راه حلی که دسترسی کاربران به سامانه را کنترل می‌کند به‌راحتی قابل دور زدن است. این مسئله موجب می‌شود که مهاجمان از این طریق به رابط وب دسترسی داشته باشند.
شناسه‌ی CVE-2015-6464 با درجه اهمیت 8.5 به این آسیب‌پذیری اختصاص داده‌شده است.
وب سرور GoAhead قرار داده‌شده در سوئیچ‌های صنعتی این شرکت در برابر حملات DoS آسیب‌پذیر است. آدرس‌های دست‌کاری شده توسط کاربر معتبر، منجر به راه‌اندازی مجدد دستگاه می‌شود.
 شناسه‌ی CVE-2015-6465 با درجه اهمیت 6.8 به این آسیب‌پذیری اختصاص داده‌شده است.
آسیب‌پذیری XSS در قسمت مدیریتی رابط وب سوئیچ صنعتی این شرکت پیداشده است که با تزریق کدهای جاوا اسکریپت می‌تواند موردحمله قرار بگیرد.
شناسه‌ی CVE-2015-6466 با درجه اهمیت 4.3 به این آسیب‌پذیری اختصاص داده‌شده است.
این آسیب‌پذیری قابلیت بهره‌برداری از راه دور را دارد. مهاجمانی با سطح مهارت پایین قادر به بهره‌برداری از این آسیب‌پذیری هستند.
این شرکت به‌منظور کاهش آسیب‌پذیری‌های انتشار داده‌شده، سفت افزار دستگاه‌های آسیب‌دیده را بروزرسانی کرد. این بروزرسانی در وب‌گاه این شرکت قرار دارد.
به کاربران پیشنهاد می‌شود برای کاهش خطرات آسیب‌پذیری‌ها اقدامات زیر را انجام دهند.
•    تمامی نرم‌افزارها را باحالت کاربر اجرا شود نه در حالت مدیر.
•    نرم‌افزارها و پچ نرم‌افزارها از منابع معتبر دریافت شود.
•    از طراحی‌های خوب شبکه استفاده شود؛ از DMZها به همراه پیکربندی کامل استفاده شود؛ ترافیک بین سامانه‌ها و منطقه‌ها مانیتور شود.
•    از امنیت‌های منطقی به‌منظور اجرای دفاع در عمق در سامانه‌های کنترل صنعتی استفاده شود.
•    اهمیت مراقبت از تجهیزات به کارکنان گوش زد شود؛ مخصوصاً آگاهی‌های لازم به‌منظور مقابله با حملات مهندسی اجتماعی به کارکنان آموزش داده شود.
در ادامه به‌منظور برقراری امنیت بیشتر در شبکه، اقدامات زیر پیشنهاد می‌شود:
•    جدا کردن سامانه‌های کنترل صنعتی از اینترنت
•    شبکه سامانه‌های کنترل صنعتی و تجهیزات متصل به آن را پشت دیوار آتش قرار داده و از شبکه اداری جدا کنیم.
•    زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب‌پذیر باشند و باید به صورت پیوسته بروز شوند)
تأثیراتی که این آسیب‌پذیری برای سازمان‌ها ایجاد می‌کند، برای هر سازمان کاملاً منحصربه‌فرد بوده و باید به ‌صورت موردی بررسی شوند. بررسی تأثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.
محصولات آسیب‌پذیر
•    سری سوئیچ‌های صنعتی EDS-405A/EDS-408A نسخه V3.4 و نسخه‌های قبل.