Moxa publicou um aviso de segurança sobre uma vulnerabilidade crítica em OpenSSH (CVE-2023-38408) que permite execução remota de código em vários modelos de switches Ethernet industriais. A falha recebeu CVSS 3.1 9.8 e exige ação imediata de equipes que gerenciam redes industriais.
Descoberta e escopo
Segundo o boletim divulgado pela fabricante e reproduzido pela Cyber Security News, a raiz do problema está em um caminho de busca não confiável na funcionalidade PKCS#11 do ssh-agent (OpenSSH antes de 9.3p2). A falha é classificada como CWE-428 (unquoted search path) e permite que, quando o agente SSH é encaminhado (agent forwarding) para um sistema controlado por atacante, um binário malicioso seja executado — resultando em RCE sem interação adicional do usuário.
Produtos afetados
Moxa lista séries e modelos específicos afetados. Entre eles estão vários modelos das séries EDS (por exemplo, EDS-G4000, EDS-4008/4009/4012/4014 e variantes G) com firmware v4.1 ou anterior, e séries RKS (RKS-G4000, RKS-G4028, RKS-G4028-L3) com firmware v5.0 ou anterior. A fabricante recomenda atualizações para versões corrigidas: EDS para 4.1.58 e RKS para 5.0.4.
Vetor e exploração
A exploração depende do encaminhamento do agente SSH (ssh-agent forwarding) até um host controlado pelo atacante. Em cenários de administração remota — comuns em ambientes industriais — agentes encaminhados sem restrições podem expor credenciais e permitir que um atacante injete e execute código. O boletim aponta que a falha é um remanescente de uma correção incompleta relacionada ao histórico CVE-2016-10009.
Impacto e mitigação imediata
Impacto: comprometimento total do sistema, com risco real à confidencialidade, integridade e disponibilidade de equipamentos de rede e, por consequência, de segmentos OT que dependam desses switches.
- Patching: aplicar as versões indicadas por Moxa (EDS 4.1.58 / RKS 5.0.4) o quanto antes.
- Mitigações compensatórias: restringir o encaminhamento de agente SSH, aplicar ACLs/firewalls para limitar acesso de gestão a redes confiáveis e segregar redes OT/ICS das redes administrativas.
- Contenção: desligar exposição direta desses dispositivos à Internet e desativar serviços desnecessários até o deploy de patch.
Evidências, limitações e recomendações de avaliação
Moxa orienta contato com o suporte técnico para obter patches. O boletim não detalha PoC público nem confirma exploração ativa em campo; portanto, equipes devem priorizar avaliação interna de exposição (inventário de dispositivos com firmware vulnerável) e monitoramento de telemetria para sinais de agent-forwarding anômalos. Relatos técnicos citam CVSS 9.8, o que justifica resposta acelerada mesmo sem provas públicas de exploração massiva.
Recomendações operacionais para CISOs
Ao nível executivo e de gestão de risco, recomendo: inventariar imediatamente dispositivos Moxa expostos; implementar regras temporárias de bloqueio de agent forwarding em jump hosts; acelerar rollout de patches em ambientes de teste para posterior rollout em produção; e revisar políticas de gestão remota (VPNs, jump boxes, autenticação forte e rotação de chaves). Documente evidências e comunique stakeholders de OT/ICS sobre janela de manutenção.
Referência
Informações baseadas no advisory da Moxa reportado pela Cyber Security News. Onde faltam dados (exploração ativa em campo, PoC publicamente disponível), o boletim não fornece mais detalhes.