Эксперты Positive Technologies рассказали о найденной уязвимости CVE-2024–1220 (BDU:2024–01 811) в промышленных беспроводных преобразователях компании Moxa. Уязвимость была обнаружена в преобразователях NPort W2150a и W2250a. Эти устройства позволяют подключать к локальной сети Wi‑Fi промышленные контроллеры, счётчики и датчики. Беспроводной доступ необходим для контроля за оборудованием, расположенным, например, на движущихся объектах (контейнеры, лифты, роботы) или в агрессивных средах (химическое и металлургическое производство), рассказали информационной службе Хабра в пресс‑службе ИБ‑компании. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения. Уязвимость получила оценку 8,2 из 10 по шкале оценки уязвимостей CVSS v3.1.

CVE-2024–1220 была найдена во внутреннем ПО устройств v2.3. Компания уже устранила уязвимость, выпустив новую версию ПО. Для устранения уязвимости ИБ‑специалисты рекомендуют установить новейшую версию прошивки.

По словам специалиста группы анализа защищённости веб‑приложений Positive Technologies Владимира Разова, такие уязвимости могут эксплуатировать внутренние злоумышленники или гости на предприятии, например партнёры, кандидаты на собеседованиях. В некоторых случаях это могли быть атакующие с мощными антеннами, чтобы усилить беспроводной сигнал и атаковать предприятие из‑за физического периметра. Также злоумышленники могут перехватить доступ к устройству (ноутбуку, смартфону) сотрудника промышленного объекта или офисной, хозяйственной его части, чтобы провести эксплуатацию уязвимостей. Однако для таких атак злоумышленникам ещё потребовалось бы взломать точки доступа, к которым подключены конвертеры Moxa.

С помощью CVE-2024–1220 атакующий, находясь в одной сети с уязвимым преобразователем Moxa NPort W2150a или W2250a, мог бы без авторизации выполнить произвольный код на устройствах и получить к ним полный доступ. Для получения доступа достаточно сделать специальный запрос к устройству, после чего можно было отправлять команды на подключённые промышленные контроллеры и другое оборудование через преобразователь.