Moxa修補工業交換器的OpenSSH元件重大漏洞

漏洞簡介

工業網路設備廠商四零四科技（Moxa）於1月9日發布資安公告，針對旗下EDS-G4000與RKS-G4000系列交換器設備修補OpenSSH重大漏洞CVE-2023-38408。

漏洞成因與風險

該漏洞源自OpenSSH 9.3p2之前的版本，其ssh-agent元件的PKCS#11功能因不可靠的搜尋路徑，在特定情況下會引發遠端程式碼執行（RCE），CVSS風險評為9.8分（滿分10分），屬於極高風險。

影響範圍

此漏洞影響EDS-G4000與RKS-G4000系列的機種，若攻擊者成功利用，可在特定代理程式將流量轉發到攻擊者控制的系統時，遠端執行任意程式碼。

應對措施

Moxa已推出新版韌體以修補此問題，用戶需及時更新設備韌體以確保安全。

來源：https://www.ithome.com.tw/news/173378