西门子修复 bacnet 自动化控制器的两处安全漏洞
2017-10-17 10:18:43
hackernews.cc 消息,继上周西门子修复智能电表 7kt pac1200 高危漏洞后,安全研究人员再次发现西门子的 自动化控制器存在两处安全漏洞,允许攻击者在线访问集成 web 服务器(80/tcp 和 443/tcp)并执行管理操作。这两处漏洞普遍影响了西门子 bacnet 自动化控制器 apogee pxc 和 talon tc 3.5 之前的所有固件版本。目前西门子已发布固件更新。
第一处漏洞(cve-2017-9946):允许未经身份验证的攻击者在线访问集成 web 服务器(80/tcp 和 443/tcp),从而通过受损设备下载敏感数据。目前,该漏洞危险等级为【高危】,且 cvss 基础评分为 7.5。
第二处漏洞(cve-2017-9947):允许攻击者在线访问集成 web 服务器(80/tcp 和 443/tcp)后远程窃取受影响设备的文件系统结构信息。目前,该漏洞 cvss 基础评分为 5.3。
受影响设备普遍应用于商业设施,以便控制取暖、通风和空调(hvac)设备。目前,西门子已修复漏洞并发布固件更新。对此,安全研究人员强烈建议用户将其设备更新至 3.5 版本,并通过适当的防御机制保护 web 服务器的网络访问,以便自身 it 设备免遭黑客攻击。
官方微信