CERT@VDE 发布的安全公告揭示了 mbNET.mini 工业路由器中的多个关键漏洞，该路由器是一种广泛使用的设备，专为安全远程访问工业机器和系统而设计。该路由器由 MB connect line 生产，对于远程管理设备至关重要，但这些新漏洞暴露了重大风险，允许远程代码执行（RCE）和未经授权的访问。

公布的漏洞：

• CVE-2024-45274 （CVSS 9.8）： 这个严重漏洞允许未经认证的攻击者通过 UDP 远程执行任意操作系统命令，从而有效地完全控制设备。
• CVE-2024-45275（CVSS 9.8）： mbNET.mini包含带有默认密码的硬编码用户账户，为攻击者提供了一个轻松入侵设备的途径，这加剧了漏洞的严重性。
• CVE-2024-45271 （CVSS 8.4）： 即使是本地攻击者也能利用该设备。该漏洞可通过部署恶意配置文件实现未经授权的权限升级。
• CVE-2024-45273（CVSS 8.4）： 薄弱的加密实施允许攻击者解密设备的配置文件，从而可能暴露敏感信息并为进一步攻击提供便利。
• CVE-2024-45276（CVSS 7.5）： 攻击者可在未经授权的情况下读取存储在“/tmp ”目录中的文件，从而可能泄露敏感数据。

影响和补救措施：

这些漏洞影响重大。成功利用可导致

• 完全接管系统： 攻击者可完全控制 mbNET.mini 和任何连接的工业设备。
• 数据泄露： 敏感的操作数据和配置文件可能被窃取或篡改。
• 运行中断： 攻击者可能会破坏工业流程，导致停机和经济损失。

MB connect line 已在 2.3.1 版 mbNET.mini 固件中解决了这些漏洞。强烈建议用户立即更新设备，以降低被利用的风险。