10月14日台湾工控设备制造商四零四科技（Moxa）发布资安公告，指出旗下部分移动通信路由器、安全路由器、网络设备存在高风险漏洞CVE-2024-9137、CVE-2024-9139，并指出这些漏洞有可能导致未经授权存取或是系统损坏的情况，呼吁用户应尽速套用新版固件因应。

根据CVSS风险评分的高低，较为严重的是评为重大层级的CVE-2024-9137，该公司特别提及，这项漏洞攻击者能在未经身分验证的情况下，远程触发。此弱点发生的原因在于，设备在通过Moxa服务向服务器发送命令的过程中，未实施身分验证进程，而能允许攻击者运行特定命令，并进行未经授权的上传、下载组态文件，或是造成系统受损，3.1版CVSS风险评为9.4分（4.0版为8.8分）。

另一个漏洞CVE-2024-9139也相当危险，攻击者利用未适当限制运行方式的指令，借由操作系统命令注入手法发动攻击，而有机会运行任意代码，3.1版CVSS对此漏洞的风险评为7.2分（4.0版为8.6分）。

而对于这些漏洞的影响范围，包括资安路由器EDR-8010、EDR-G9004、EDR-G9010、NAT-102系列，以及无线宽带通信路由器OnCell G4302-LTE4、轨道车辆路由器TN-4900系列机种。对于无法即时套用新版固件的企业组织，Moxa也列出缓解建议，包括减少设备曝露于互联网、通过防火墙限制存取，以及采用入侵侦测系统（IDS）、入侵防御系统（IPS）来侦测及防范漏洞利用的情况。我们也向Moxa进一步确认此事，该公司表示，尚未接到客户反映出现重大影响的情况。