Moxa 修復了其工業網路安全設備和路由器中的 5 個漏洞，其中包括一個遠端可利用的漏洞 (CVE-2025-6950)，該漏洞可能導致整個系統被入侵。Moxa 是一家台灣公司，公司全名為「Moxa 四零四科技股份有限公司」，Moxa專門從事工業通訊、網路和營運技術 (OT) 環境的邊緣連接。 已修復的漏洞清單包括：CVE-2025-6950可被未經身份驗證的攻擊者遠端利用，CVE-2025-6892 也是如此，“API 身份驗證機制中的一個缺陷，允許未經授權訪問受保護的 API 端點，包括那些用於管理功能的端點。” CVE-2025-6893、CVE-2025-6949和CVE-2025-6894是權限提升漏洞，分別允許經過驗證的低權限使用者呼叫特定 API（執行特權操作）、執行管理「ping」功能（用於內部網路偵察）以及建立新的管理員帳戶（以實現對受影響設備的控制）。
這些漏洞會影響其上運行的韌體：

1. EDR系列工業安全路由器/防火牆：EDR-G9010、EDR-8010、EDF-G1002-BP
2. 工業乙太網路交換器：TN-4900系列
3. 工業NAT設備：NAT-102和NAT-108
4. 工業蜂窩網關/路由器：OnCell G4302-LTE4 系列

所有設備都應盡快升級至 v3.21 或更高版本。除定期更新韌體和軟體外，Moxa 還建議客戶執行以下作業：

1. 限制設備的網路訪問
2. 盡量減少它們受到攻擊的可能性（透過不將它們暴露在網路上並停用未使用的連接埠/服務）
3. 加強設備身份驗證（使用多因素身份驗證）和存取控制（透過強制最小權限存取）
4. 實施安全遠端存取（VPN、SSH 等）
5. 實施日誌記錄、監控和異常檢測
6. 定期進行安全評估。

本次修復中最為關鍵的 CVE-2025-6950 漏洞，其根本原因在於軟體使用了「硬式編碼的密鑰」（hard-coded secret key）來簽署用於身份驗證的 JSON Web Tokens (JWT)。這種不安全的實作允許未經身份驗證的遠端攻擊者能夠偽造有效的 JWT 憑證，進而繞過既有的身份驗證控制，並冒充系統中的任何使用者。Moxa 官方對此解釋，利用此漏洞可能導致系統被完全入侵，使攻擊者能夠實現未經授權的存取、資料竊取，並對受影響的設備取得完整的管理控制權。由於此漏洞具備遠端可利用且無需身份驗證的特性，其風險等級被評為極高。

除了這個核心的身份驗證繞過漏洞外，CVE-2025-6892 也同樣允許未經身份驗證的遠端存取，其缺陷在於 API 身份驗證機制中的一項錯誤，使得攻擊者可以對受保護的 API 端點進行未經授權的存取，其中包括許多用於執行管理功能的端點。這兩個漏洞都代表了對設備縱深防禦機制的嚴重破壞。

對於已取得系統存取權限的攻擊者或內部人員，其餘三個漏洞（CVE-2025-6893、-6949 和 -6894）則提供了一條權限提升的途徑。這些漏洞允許經過驗證的低權限使用者執行特權操作，例如呼叫特定 API 來執行高層級操作、執行管理級別的「ping」功能以進行內部網路偵察，甚至建立新的管理員帳戶，最終目標是完全控制設備並長期潛伏。

鑑於這些工業網路安全設備在 OT 環境中扮演的關鍵角色，其安全漏洞可能影響整個工業控制系統的穩定性與運行安全，Moxa 雖未提及這些漏洞已在野外被利用，但強烈建議所有使用相關設備的客戶務必將韌體升級至 v3.21 或更高版本，這是緩解所有已知風險的首要且最直接的行動。同時，客戶應將Moxa提出的六點安全建議視為強制性的縱深防禦實施措施，尤其應特別關注對設備進行網路存取限制、實施最小權限原則，以及透過 VPN 或 SSH 等方式確保遠端存取的安全性，以此作為避免單點故障並強化整體網路安全態勢的長期戰略。

資料來源：https://www.helpnetsecurity.com/2025/10/20/moxa-routers-hard-coded-credentials-cve-2025-6950/