发布日期：2019-06-12
更新日期：2019-06-18

受影响系统：

wago Industrial Managed Switches 852-303 1.2.1.S0
wago Industrial Managed Switches 852-1505 1.1.4.S0
wago Industrial Managed Switches 852-1305 1.1.5.S0

不受影响系统：

wago Industrial Managed Switches 852-303 1.2.2.S0
wago Industrial Managed Switches 852-1505 1.1.5.S0
wago Industrial Managed Switches 852-1305 1.1.6.S0

描述：

---

BUGTRAQ  ID: 108759
CVE(CAN) ID: CVE-2019-12550CVE-2019-12549

WAGO工业管理型交换机可为需要经济高效、运行可靠及冗余网络解决方案的工业应用提供全面的安全功能和传输及带宽限制。

多个WAGO工业管理型交换机容易出现安全绕过漏洞。

CVE-2019-12550：FW06之前的WAGO 852-303，FW06之前的852-1305和FW03设备之前的852-1505包含可用于通过SSH和TELNET登录的硬编码用户和密码。
CVE-2019-12549：FW06之前的WAGO 852-303，FW06之前的852-1305和FW03设备之前的852-1505包含SSH守护程序的硬编码私钥。来自相应SSH守护程序的SSH主机密钥的指纹与嵌入的私钥匹配。

成功的攻击可能允许远程攻击者未经授权访问易受攻击的设备。

<*来源：SEC咨询漏洞实验室的T. Weber
  
  链接：https://www.wago.com/global/download/public/SA-SYS-2019-002.pdf/SA-SYS-2019-002.pdf
        https://www.wago.com/global/download/public/SA-SYS-2019-003.pdf/SA-SYS-2019-003.pdf
*>

建议：

---

厂商补丁：

wago
----
wago已经为此发布了一个安全公告（SA-SYS-2019-002）以及相应补丁:
SA-SYS-2019-002：Hardcoded Users And Passwords
链接：https://www.wago.com/global/download/public/SA-SYS-2019-002.pdf/SA-SYS-2019-002.pdf

补丁下载：

浏览次数：10474
严重程度：0（网友投票）