Un site officiel de la Principauté de Monaco

Découvrir l'AMSN

Présentation

Organisation

Rapports d'activité

Stratégie nationale

Contact

Recrutement

S'informer sur la réglementation

Services de Confiance

Opérateur d'Importance Vitale (OIV)

Matériels et Logiciels soumis à autorisation

Sécurité Nationale

Données de santé

Services de Confiance

Schéma de confiance

Liste de confiance

Prestataires de service de confiance

Produits et services qualifiés

Services qualifiés

Produits qualifiés

AVIS CERTFR - 2021 - AVI - 669

AVIS CERT

CERT-FR

Publié le 1 septembre 2021 à 18h20

Objet : [SCADA] Multiples vulnérabilités dans les produits Moxa

Référence : CERTFR-2021-AVI-669

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges

Systèmes affectés

- micrologiciel des équipements de la gamme OnCell G3470A sans le dernier correctif
- micrologiciel des équipements de la gamme TAP-323 sans le dernier correctif
- micrologiciel des équipements de la gamme WAC-1001 sans le dernier correctif
- micrologiciel des équipements de la gamme WDR-3124A : ces équipements ne sont plus maintenus et ne bénéficieront pas de correctif
- micrologiciel des équipements de la gamme WAC-2004 : ces équipements ne sont plus maintenus et ne bénéficieront pas de correctif

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Moxa. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Moxa oncell-g3470a-wdr-3124a-cellular-gateways-router-vulnerabilities du 1 septembre 2021

https://www.moxa.com/en/support/product-support/security-advisory/oncell-g3470a-wdr-3124a-cellular-gateways-router-vulnerabilities

- Bulletin de sécurité Moxa tap-323-wac-1001-2004-wireless-ap-bridge-client-vulnerabilities du 1 septembre 2021

https://www.moxa.com/en/support/product-support/security-advisory/tap-323-wac-1001-2004-wireless-ap-bridge-client-vulnerabilities

- Référence CVE CVE-2016-2148

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2148

- Référence CVE CVE-2016-7406

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7406

- Référence CVE CVE-2012-4412

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4412

- Référence CVE CVE-2014-5119

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-5119

- Référence CVE CVE-2014-9402

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9402

- Référence CVE CVE-2014-9984

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9984

- Référence CVE CVE-2018-6485

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6485

- Référence CVE CVE-2015-7547

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547

- Référence CVE CVE-2015-0235

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235

- Référence CVE CVE-2008-4609

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4609

- Référence CVE CVE-2009-1298

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1298

- Référence CVE CVE-2010-1162

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1162

- Référence CVE CVE-2010-4251

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4251

- Référence CVE CVE-2010-4805

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4805

- Référence CVE CVE-2011-0709

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0709

- Référence CVE CVE-2011-2525

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2525

- Référence CVE CVE-2012-0207

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0207

- Référence CVE CVE-2012-2136

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2136

- Référence CVE CVE-2012-3552

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3552

- Référence CVE CVE-2012-6638

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6638

- Référence CVE CVE-2012-6701

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6701

- Référence CVE CVE-2012-6704

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-6704

- Référence CVE CVE-2013-7470

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-7470

- Référence CVE CVE-2014-2523

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2523

- Référence CVE CVE-2015-1465

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1465

- Référence CVE CVE-2015-5364

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5364

- Référence CVE CVE-2016-10229

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10229

- Référence CVE CVE-2016-3134

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3134

- Référence CVE CVE-2016-4997

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4997

- Référence CVE CVE-2016-7039

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7039

- Référence CVE CVE-2016-7117

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7117

- Référence CVE CVE-2016-8666

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8666

- Référence CVE CVE-2017-1000111

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000111

- Référence CVE CVE-2017-11176

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-11176

- Référence CVE CVE-2017-7618

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7618

- Référence CVE CVE-2017-8890

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8890

- Référence CVE CVE-2019-16746

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16746

- Référence CVE CVE-2019-3896

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3896

- Référence CVE CVE-2010-3848

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3848

- Référence CVE CVE-2012-0056

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0056

- Référence CVE CVE-2010-2692

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2692

- Référence CVE CVE-2006-2937

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2937

- Référence CVE CVE-2006-2940

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2940

- Référence CVE CVE-2006-3738

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3738

- Référence CVE CVE-2009-3245

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3245

- Référence CVE CVE-2010-0742

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0742

- Référence CVE CVE-2010-3864

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3864

- Référence CVE CVE-2010-4252

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4252

- Référence CVE CVE-2012-2110

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2110

- Référence CVE CVE-2014-3512

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3512

- Référence CVE CVE-2014-3567

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567

- Référence CVE CVE-2014-8176

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8176

- Référence CVE CVE-2015-0292

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0292

- Référence CVE CVE-2016-2108

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2108

- Référence CVE CVE-2016-2109

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2109

- Référence CVE CVE-2016-8717

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8717

- Référence CVE CVE-2021-39279

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-39279

- Référence CVE CVE-2021-39278

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-39278

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-669/