ABB 针对其楼宇能源管理平台 ASPECT 系统发布了重要网络安全公告。该公告于2024年12月5日发布，详细描述了多个漏洞，这些漏洞可能允许攻击者远程控制该系统并执行恶意代码。

这些漏洞影响到 ASPECT 的不同版本，包括未经授权的访问和远程代码执行，以及跨站脚本和拒绝服务攻击。ABB 已将 CVSS v3.1 基本分高达 10.0，表明了这些漏洞的严重性。

该公告强调了许多漏洞，包括：

• CVE-2024-6298 (CVSS 10)：远程代码执行 (RCE)
  输入验证不当可允许攻击者远程执行任意代码。ABB 指出，“攻击者可以成功利用这些漏洞，远程控制产品，并可能插入和运行任意代码”。

• CVE-2024-6515 (CVSS 9.6)：明文密码
  密码可能以明文或 Base64 编码处理，增加了意外暴露凭证的风险。

• CVE-2024-51551 (CVSS 10)：默认凭据
  使用公开默认凭据的设备容易受到未经授权的访问，因此需要立即更新凭据。

• CVE-2024-51549 (CVSS 10)：绝对路径遍历
  该漏洞可访问和修改非预期资源，带来重大安全风险。

该公告强调，ASPECT 设备的设计并非面向互联网。ABB 重申了之前向客户发出的警告，指出：“ASPECT 设备并非面向互联网。2023 年 6 月发布的产品公告向客户告知了这一参数。”

尽管如此，只有当攻击者能够访问安装了 ASPECT 并直接暴露于互联网的网段时，才能利用本公告中报告的漏洞。

ABB 感谢 Zero Science Lab 的 Gjoko Krstikj 负责任地报告了这些漏洞。公司已发布固件更新来解决这些问题，并敦促客户立即应用这些更新。

为降低风险，ABB 概述了以下即时步骤：

1. 断开暴露于互联网的设备的连接
   移除任何直接连接到互联网或配置了不安全网络设置的 ASPECT 系统。

2. 升级固件
   确保所有 ASPECT 产品更新到 3.08.03 或更新版本，以解决这些漏洞。

3. 实施安全访问控制
   使用安全的虚拟专用网络（VPN）进行远程访问，并确保防火墙保护 ASPECT 安装。

4. 更改默认凭据
   ABB强调，安装后立即更改默认密码至关重要。

【安全圈】微软正在修复Windows 11更换主板后无法激活的问题 遇到该问题的用户还需稍等

【安全圈】关键的联发科芯片组漏洞影响15亿手机用户

【安全圈】非洲执法部门抓获1，000多名网络犯罪嫌疑人

【安全圈】最强大的Android间谍软件曝光，可提取信息、密码和执行shell命令

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！