今日頭條
官方微信
官方抖音
資訊頻道本周,西門子公司發布了 BACnet 智能樓宇控制系統的固件更新程序,修復了兩個漏洞,其中一個漏洞的風險性非常高。這些受影響的設備廣泛用于各種商業設施,包括控制通風,和空調(HVAC)、燈光等設備。目前該系統在我國一些高檔酒店被廣泛應用。
受影響設備
運行3.5固件版本前的APOGEE PXC和TALON TC BACnet自動化控制器
漏洞1
漏洞編號
CVE-2017-9946
漏洞描述
未經過身份驗證的網絡服務器攻擊者通過80和433端口訪問web服務器,可以利用該漏洞下載敏感信息。
漏洞評分
CVSS: 7.5
漏洞2
漏洞編號
CVE-2017-9947
漏洞描述
目錄遍歷漏洞,攻擊者通過80和433端口訪問web服務器,可以利用該漏洞獲取被攻擊設備上的文件系統結構的信息。
漏洞評分
CVSS:5.3
智能樓宇控制系統主要包括空調新風機組、送排風機、集水坑與排水泵、電梯、變配電、照明等。西門子智能樓宇監控系統是以太網技術的BACnet/IP協議的分布智能控制系統,采用自適應控制技術,可以迅速有效地完成樓宇機電設備監控和舒適性環境保障,降低樓宇的維護成本和能源成本。
最新進展
西門子已發布涉事產品固件更新補丁,請相關組織及時下載。
文章來源:微信公眾號-安點安全
北京市公安局海淀分局備案號:11010802023656號