新闻快讯
< >

西门子已修复楼宇自动化控制器中存在的高危漏洞

继上周西门子修复智能电表 7KT PAC1200 高危漏洞后,安全研究人员再次发现西门子的 BACnet 自动化控制器存在两处安全漏洞,允许攻击者在线访问集成 Web 服务器(80/tcp 和 443/tcp)并执行管理操作。这两处漏洞普遍影响了西门子 BACnet 自动化控制器 APOGEE PXC 和 TALON TC  3.5 之前的所有固件版本。目前西门子已发布固件更新。



西门子已修复楼宇自动化控制器中存在的高危漏洞-E安全

受影响设备普遍应用于商业设施,以便控制取暖、通风和空调(HVAC)设备。目前,西门子已修复漏洞并发布固件更新。对此,安全研究人员强烈建议用户将其设备更新至 3.5 版本,并通过适当的防御机制保护 Web 服务器的网络访问,以便自身 IT 设备免遭黑客攻击。

第一处漏洞(CVE-2017-9946):允许未经身份验证的攻击者在线访问集成 Web 服务器(80/tcp 和 443/tcp),从而通过受损设备下载敏感数据。目前,该漏洞危险等级为【高危】,且 CVSS 基础评分为 7.5。

第二处漏洞(CVE-2017-9947):允许攻击者在线访问集成 Web 服务器(80/tcp 和 443/tcp)后远程窃取受影响设备的文件系统结构信息。目前,该漏洞 CVSS 基础评分为 5.3。