PT-2020-1748 · Moxa · Moxa Awk-3131A

Carl Hurd

Publicado

2020-02-25

Atualizado

2022-06-13

CVE-2019-5137

CVSS v2.0

7.8

Alta

Vetor

AV:N/AC:L/Au:N/C:C/I:N/A:N

Nome do software vulnerável e versões afetadas

Firmware do Moxa AWK-3131A, versão 1.13

Descrição

O problema está relacionado ao uso de chaves criptográficas codificadas no binário do ServiceAgent, o que permite a descriptografia do tráfego capturado na rede proveniente ou destinado ao Moxa AWK-3131A. Isso poderia permitir que um invasor remoto divulgasse informações protegidas.

Recomendações

Para o firmware Moxa AWK-3131A versão 1.13, considere desativar o binário ServiceAgent até que uma correção esteja disponível para evitar uma possível exploração. Restrinja o acesso à rede para minimizar o risco de o tráfego capturado ser descriptografado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Using Hardcoded Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-798CWE-321

Identificadores relacionados

BDU:2020-00988

CVE-2019-5137

Produtos afetados

Moxa Awk-3131A

PT-2020-1748 · Moxa · Moxa Awk-3131A

CVE-2019-5137

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8