今日頭條
官方微信
官方抖音
資訊頻道本周,西門子公司發(fā)布了 BACnet 智能樓宇控制系統(tǒng)的固件更新程序,修復(fù)了兩個漏洞,其中一個漏洞的風(fēng)險性非常高。這些受影響的設(shè)備廣泛用于各種商業(yè)設(shè)施,包括控制通風(fēng),和空調(diào)(HVAC)、燈光等設(shè)備。目前該系統(tǒng)在我國一些高檔酒店被廣泛應(yīng)用。
受影響設(shè)備
運行3.5固件版本前的APOGEE PXC和TALON TC BACnet自動化控制器
漏洞1
漏洞編號
CVE-2017-9946
漏洞描述
未經(jīng)過身份驗證的網(wǎng)絡(luò)服務(wù)器攻擊者通過80和433端口訪問web服務(wù)器,可以利用該漏洞下載敏感信息。
漏洞評分
CVSS: 7.5
漏洞2
漏洞編號
CVE-2017-9947
漏洞描述
目錄遍歷漏洞,攻擊者通過80和433端口訪問web服務(wù)器,可以利用該漏洞獲取被攻擊設(shè)備上的文件系統(tǒng)結(jié)構(gòu)的信息。
漏洞評分
CVSS:5.3
智能樓宇控制系統(tǒng)主要包括空調(diào)新風(fēng)機組、送排風(fēng)機、集水坑與排水泵、電梯、變配電、照明等。西門子智能樓宇監(jiān)控系統(tǒng)是以太網(wǎng)技術(shù)的BACnet/IP協(xié)議的分布智能控制系統(tǒng),采用自適應(yīng)控制技術(shù),可以迅速有效地完成樓宇機電設(shè)備監(jiān)控和舒適性環(huán)境保障,降低樓宇的維護(hù)成本和能源成本。
最新進(jìn)展
西門子已發(fā)布涉事產(chǎn)品固件更新補丁,請相關(guān)組織及時下載。
文章來源:微信公眾號-安點安全
北京市公安局海淀分局備案號:11010802023656號