ABB 针对其楼宇能源管理平台 ASPECT 系统发布了重要网络安全公告。该公告于2024年12月5日发布,详细描述了多个漏洞,这些漏洞可能允许攻击者远程控制该系统并执行恶意代码。这些漏洞影响到 ASPECT 的不同版本,包括未经授权的访问和远程代码执行,以及跨站脚本和拒绝服务攻击。ABB 已将 CVSS v3.1 基本分高达 10.0,表明了这些漏洞的严重性。该公告强调了许多漏洞,包括:CVE-2024-6298 (CVSS 10): 远程代码执行 (RCE)输入验证不当可允许攻击者远程执行任意代码。ABB 指出,“攻击者可以成功利用这些漏洞,远程控制产品,并可能插入和运行任意代码”。CVE-2024-6515 (CVSS 9.6): 明文密码密码可能以明文或 Base64 编码处理,增加了意外暴露凭证的风险。CVE-2024-51551 (CVSS 10): 默认凭据使用公开默认凭据的设备容易受到未经授权的访问,因此需要立即更新凭据。CVE-2024-51549 (CVSS 10):绝对路径遍历该漏洞可访问和修改非预期资源,带来重大安全风险。该公告强调,ASPECT 设备的设计并非面向互联网。ABB 重申了之前向客户发出的警告,指出:“ASPECT 设备并非面向互联网。2023 年 6 月发布的产品公告向客户告知了这一参数。”尽管如此,只有当攻击者能够访问安装了 ASPECT 并直接暴露于互联网的网段时,才能利用本公告中报告的漏洞。ABB 感谢 Zero Science Lab 的 Gjoko Krstikj 负责任地报告了这些漏洞。公司已发布固件更新来解决这些问题,并敦促客户立即应用这些更新。为降低风险,ABB 概述了以下即时步骤:断开暴露于互联网的设备的连接移除任何直接连接到互联网或配置了不安全网络设置的 ASPECT 系统。升级固件确保所有 ASPECT 产品更新到 3.08.03 或更新版本,以解决这些漏洞。实施安全访问控制使用安全的虚拟专用网络(VPN)进行远程访问,并确保防火墙保护 ASPECT 安装。更改默认凭据ABB强调,安装后立即更改默认密码至关重要。更多信息,请访问ABB网络安全页面。
