摘要：一名研究人员声称，在电气化和自动化解决方案提供商 ABB 的产品中发现了 1,000 多个漏洞，其中包括可能使设施遭受远程黑客攻击的漏洞。该供应商已发布补丁。

一名研究人员声称，在电气化和自动化解决方案提供商 ABB 的产品中发现了 1,000 多个漏洞，其中包括可能使设施遭受远程黑客攻击的漏洞。该供应商已发布补丁。

这些漏洞是由 Gjoko Krstic 发现的，他以针对楼宇管理和门禁系统的安全研究而闻名，其漏洞存在于 ABB Cylon FLXeon 和 ABB Cylon Aspect 楼宇能源管理和控制解决方案中。

Krstic在 Aspect 产品中发现了 1,000 多个漏洞（其中许多漏洞的严重程度被评为“严重”和“高”），在 FLXeon 产品中发现了 35 个安全漏洞。

已经发现了大量缺陷，包括未经授权的文件访问和操作、XSS、CSRF、SSRF、IDOR、安全绕过、DoS、SQL 注入和密码相关问题，这些问题可被利用进行远程代码执行、获取敏感信息或造成破坏。

研究人员表示，一些漏洞可以被远程、未经身份验证的攻击者利用，从而完全控制目标系统。

ABB 建议客户不要将这些系统暴露在互联网上。然而，受影响的产品在世界各地使用，研究人员认为，大约有 1,000 家设施将这些系统暴露在网络上，可能容易受到攻击。研究人员表示，这些漏洞可能会使医院、体育场和机场遭受攻击。

Krstic表示，在现实世界的攻击场景中 - 取决于目标楼宇管理系统的用途 - 这些漏洞可能允许攻击者篡改灯光、暖通空调系统、水压、门、传感器和工业控制系统 (ICS)。

这些问题于 2024 年春季报告给 ABB，该供应商最近发布了补丁并发布了公告。美国网络安全机构CISA也针对 Aspect 漏洞发布了一份公告。

然而，Krstic表示，他对 ABB 处理披露过程的方式感到不满，由于对静默修补和 ABB 缺乏适当的公开承认感到沮丧，他一度决定不再直接向供应商报告他的发现，而是通过 CISA 和 CERT/CC 的漏洞信息和协调环境 (VINCE) 进行披露。

ABB 仅为这些漏洞分配了大约二十个 CVE 标识符，这让该研究人员感到不满。他告诉SecurityWeek，他认为应该分配 100 多个 CVE，每个受影响的文件和攻击媒介都有一个 CVE，而不是每种类型的漏洞都有一个 CVE。

Krstic 的分析针对了数百个 PHP 和 Java 文件，并在其中一些文件中发现了多个漏洞，总计超过 1,000 个问题。

研究人员迄今已发布了 70 多条单独的警告，但针对这些漏洞的警告总数预计将达到 150 条。

ABB 在 2020 年收购 Cylon Controls 后，将 Aspect 和 FLXeon 产品添加到其产品组合中。根据 Krstic 的分析和观察，受影响的楼宇管理系统产品的代码库已有 19 年历史，并且 ABB 在收购 Cylon 四年后才开始改进其安全性。

ABB官方漏洞公告：

CISA漏洞公告：

研究人员发布的70余条安全警告：

新闻链接：

来源：会杀毒的单反狗