美国网络安全和基础设施安全局(CISA)发布警告,多款广泛使用的工业物联网设备存在多处高危漏洞。通报指出,济南有人物联网技术有限公司(PUSR)生产的 USR‑W610 串口服务器 存在多项底层安全缺陷。
对管理员而言最严峻的问题是:该系列设备已正式停止服务(EOL),官方将不再提供任何安全补丁。
这批漏洞中危害最严重的是 CVE‑2026‑25715,CVSS 评分高达 9.8,属于特级高危漏洞。
该漏洞源于设备管理逻辑的底层设计缺陷。
官方通报显示:设备的 Web 管理界面允许将管理员用户名和密码设置为空值。
一旦如此配置,对网络安全将是毁灭性打击。
报告警告:设备允许通过 Web 管理界面和 Telnet 服务使用空凭证登录,这相当于直接关闭了所有关键管理通道的认证机制,同一局域网内的任意攻击者无需密码即可获取完整管理员权限。
除登录绕过漏洞外,USR‑W610 还缺乏现代加密机制,界面安全设计存在严重问题:
-
明文窃听漏洞(CVE‑2026‑24455)
设备不支持 HTTPS/TLS,仅使用过时的 HTTP 基础认证。这会导致流量仅编码不加密,同一局域网内的攻击者可轻松截获用户凭证。
-
密码明文显示漏洞(CVE‑2026‑26049)
设备 Web 界面会在输入框中明文展示密码,任何能接触到管理界面的人员都可直接看到管理员密码,极易通过偷窥、截图、浏览器表单缓存等方式泄露。
-
Wi‑Fi 反认证攻击漏洞(CVE‑2026‑26048)
设备缺少管理帧保护机制,攻击者可发送伪造帧,对设备发起未经授权的干扰,造成拒绝服务(DoS)。
设备厂商济南有人物联网技术有限公司已明确表示:该产品已停止服务,无任何补丁计划。
这意味着 USR‑W610(3.1.1.0 及以下版本) 将永久存在高危风险,包括认证失效、拒绝服务、凭证被窃等。
由于不会再有任何修复程序,CISA 与安全研究人员强烈建议用户:
立即停用受影响设备,或将其严格隔离在网络分区中,确保未授权设备无法访问其管理接口。
发表评论
您还未登录,请先登录。
登录