MiiNePort har flere sårbarheder

Artiklen blev oprindeligt publiceret den 26/5/2016

Boksen MiiNePort, der bruges til at koble serielle enheder på netværk, har flere alvorlige sårbarheder. En betaversion af en rettelse ventes klar i denne måned.

MiiNePort fra firmaet Moxa bruges især inden for industrikontrolsystemer, når udstyr med serielle porte skal kobles på lokalnet.

Sikkerhedsforskeren Karn Ganeshen har fundet flere sårbarheder. Blandt andet er der som standard ikke krav om password for at logge ind på enheden.

Endvidere lagres fortrolige oplysninger såsom passwords i klartekst. Og enheden er sårbar over for cross-site request forgery (CSRF).

ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) oplyser, at Moxa regner med at udsende en betaversion af rettet software til enheden inden udgangen af maj.

Anbefaling
Test og installer den rettede softwareversion, når den kommer.

Links

• [ICS] Moxa MiiNePort - Multiple Vulnerabilities, Karn Ganeshen
• Advisory (ICSA-16-145-01): Moxa MiiNePort Vulnerabilities
• Unpatched Flaws Plague Moxa Connectivity Products, artikel fra SecurityWeek