西門子修復 BACnet 自動化控制器的兩處安全漏洞
VSole2017-10-16 22:35:35
上周,西門子發布了其旗下的BACnet現場控制器的建筑自動化產品的固件升級,用以解決該產品的兩個漏洞,其中一個漏洞被列為嚴重程度。 這些漏洞的影響覆蓋了APOGEE PXC和TALON TC產品系列中 BACnet自動控制器在V3.5版本之前運行的固件。受影響的兩個產品系列都廣泛應用于商業設施,以控制取暖、通風和空調(HVAC)設備。
第一處漏洞(CVE-2017-9946):允許未經身份驗證的攻擊者在線訪問集成 Web 服務器(80/tcp 和 443/tcp),從而通過受損設備下載敏感數據。目前,該漏洞危險等級為高危,且 CVSS 基礎評分為 7.5。 第二處漏洞(CVE-2017-9947):允許攻擊者在線訪問集成 Web 服務器(80/tcp 和 443/tcp)后遠程竊取受影響設備的文件系統結構信息。目前,該漏洞 CVSS 基礎評分為 5.3。 目前,西門子已修復漏洞并發布固件更新。對此,安全研究人員強烈建議用戶將其設備更新至 3.5 版本,并通過適當的防御機制保護 Web 服務器的網絡訪問,以便自身 IT 設備免遭黑客攻擊。
原文:Pierluigi Paganini
VSole
網絡安全專家