台灣工業通訊大廠四零四科技 (Moxa) 緊急修補五個影響其工業網路安全設備和路由器的重大漏洞,其中最嚴重的 CVE-2025-6950 源於使用硬編碼密鑰簽署 JSON Web Token (JWT) 認證令牌,允許未經身份驗證的攻擊者遠端偽造有效令牌,繞過所有身份驗證控制並冒充任何使用者,可能導致系統完全淪陷。該公司呼籲客戶立即將受影響設備更新至韌體 v3.21 或更新版本。
四零四科技是專門提供工業通訊、網路和邊緣連接解決方案的台灣企業,產品廣泛使用於全球營運技術 (OT) 環境。此次發現的漏洞影響多個產品線,包括 EDR 系列工業安全路由器/防火牆、TN-4900 系列工業乙太網路交換器、NAT 工業網路位址轉換設備,以及 OnCell G4302-LTE4 系列工業蜂巢式閘道器/路由器。
硬編碼密鑰成致命破口
CVE-2025-6950 是此次修補中最危險的漏洞,問題出在系統使用硬編碼的密鑰來簽署用於身份驗證的 JWT 令牌。四零四科技解釋:「這種不安全的實作方式允許未經身份驗證的攻擊者偽造有效令牌,從而繞過身份驗證控制並冒充任何使用者。利用此漏洞可能導致系統完全淪陷,實現未經授權的存取、資料竊取,以及對受影響設備的完全管理控制。」
JWT 是現代網路應用程式中廣泛使用的身份驗證機制,但硬編碼密鑰是一個基本的安全錯誤。由於密鑰被寫死在程式碼中,任何取得韌體的人都可能提取出這個密鑰,進而偽造任意使用者的身份令牌,包括管理員帳號。
多重認證缺陷相互加成
除了 CVE-2025-6950,四零四科技同時修補的 CVE-2025-6892 也是一個可遠端利用的高危漏洞。這是 API 認證機制中的缺陷,允許未經授權存取受保護的 API 端點,包括用於管理功能的端點。攻擊者可利用這兩個漏洞的組合,在完全沒有憑證的情況下取得設備的管理權限。
另外三個權限提升漏洞進一步擴大了攻擊面:
- CVE-2025-6893:允許低權限使用者呼叫特定 API 執行特權操作
- CVE-2025-6949:讓低權限使用者執行管理員等級的 "ping" 功能,可用於內部網路偵察
- CVE-2025-6894:允許低權限使用者建立新的管理員帳號,直接取得設備的管理控制權
這些漏洞的組合構成了完整的攻擊鏈:攻擊者可從外部未經身份驗證的狀態,逐步提升權限至完全系統控制。
工業環境面臨嚴峻挑戰
雖然四零四科技表示目前沒有證據顯示這些漏洞已被利用,但鑑於其嚴重性,公司建議客戶立即套用最新韌體更新。受影響的設備型號包括:
- EDR 系列:EDR-G9010、EDR-8010、EDF-G1002-BP
- 工業乙太網路交換器:TN-4900 系列
- 工業 NAT 設備:NAT-102、NAT-108
- 工業蜂巢式閘道器/路由器:OnCell G4302-LTE4 系列
所有設備都應升級至韌體 v3.21 或更新版本。
除了立即更新韌體,四零四科技也提出了全面的安全建議:
首先是限制網路存取,將設備放置在防火牆後方,並限制可存取設備的 IP 位址範圍。其次是最小化攻擊面,不要將設備直接暴露在網際網路上,並停用未使用的連接埠和服務。
在身份驗證方面,企業應強化設備認證,啟用多因素驗證並實施最小權限原則。對於遠端存取,應使用 VPN、SSH 等安全連線方式,避免直接暴露管理介面。
最後,企業應實施監控與異常偵測,記錄所有存取日誌並監控異常行為,同時定期進行安全評估,及時發現潛在風險。
本文轉載自helpnetsecurity。