摘要:ABB 针对其楼宇能源管理平台 ASPECT 系统发布了重要网络安全公告。该公告于2024年12月5日发布,详细描述了多个漏洞,这些漏洞可能允许攻击者远程控制该系统并执行恶意代码。
安全漏洞
ABB 针对其楼宇能源管理平台 ASPECT 系统发布了重要网络安全公告。该公告于2024年12月5日发布,详细描述了多个漏洞,这些漏洞可能允许攻击者远程控制该系统并执行恶意代码。
这些漏洞影响到 ASPECT 的不同版本,包括未经授权的访问和远程代码执行,以及跨站脚本和拒绝服务攻击。ABB 已将 CVSS v3.1 基本分高达 10.0,表明了这些漏洞的严重性。
该公告强调了许多漏洞,包括:
CVE-2024-6298 (CVSS 10):远程代码执行 (RCE)
输入验证不当可允许攻击者远程执行任意代码。ABB 指出,“攻击者可以成功利用这些漏洞,远程控制产品,并可能插入和运行任意代码”。
CVE-2024-6515 (CVSS 9.6):明文密码
密码可能以明文或 Base64 编码处理,增加了意外暴露凭证的风险。
CVE-2024-51551 (CVSS 10):默认凭据
使用公开默认凭据的设备容易受到未经授权的访问,因此需要立即更新凭据。
CVE-2024-51549 (CVSS 10):绝对路径遍历
该漏洞可访问和修改非预期资源,带来重大安全风险。
该公告强调,ASPECT 设备的设计并非面向互联网。ABB 重申了之前向客户发出的警告,指出:“ASPECT 设备并非面向互联网。2023 年 6 月发布的产品公告向客户告知了这一参数。”
尽管如此,只有当攻击者能够访问安装了 ASPECT 并直接暴露于互联网的网段时,才能利用本公告中报告的漏洞。
ABB 感谢 Zero Science Lab 的 Gjoko Krstikj 负责任地报告了这些漏洞。公司已发布固件更新来解决这些问题,并敦促客户立即应用这些更新。
为降低风险,ABB 概述了以下即时步骤:
断开暴露于互联网的设备的连接
移除任何直接连接到互联网或配置了不安全网络设置的 ASPECT 系统。
升级固件
确保所有 ASPECT 产品更新到 3.08.03 或更新版本,以解决这些漏洞。
实施安全访问控制
使用安全的虚拟专用网络(VPN)进行远程访问,并确保防火墙保护 ASPECT 安装。
更改默认凭据
ABB强调,安装后立即更改默认密码至关重要。
网罗圈内热点 专注网络安全
支持「安全圈」就点个三连吧!
来源:小钱说科技