Контроллер управления зданием Honeywell IQ4x предоставляет полный веб-интерфейс HMI без аутентификации в заводской конфигурации по умолчанию. Если пользовательский модуль не настроен, безопасность отключена по умолчанию, и система работает в контексте системного гостя (уровень 100), предоставляя привилегии чтения/записи любой стороне, имеющей доступ к интерфейсу HTTP. Элементы управления аутентификацией применяются только после создания веб-пользователя с помощью U.htm, который динамически включает пользовательский модуль.
Поскольку эта функция доступна до аутентификации, удаленный пользователь может создать новую учетную запись с административными разрешениями на чтение/запись, включив пользовательский модуль и наложив аутентификацию с использованием учетных данных, контролируемых злоумышленником. Это действие может эффективно заблокировать законным операторам доступ к локальной и веб-конфигурации и администрированию.
Показать оригинальное описание (EN)
The Honeywell IQ4x building management controller, exposes its full web-based HMI without authentication in its factory-default configuration. With no user module configured, security is disabled by design and the system operates under a System Guest (level 100) context, granting read/write privileges to any party able to reach the HTTP interface. Authentication controls are only enforced after a web user is created via U.htm, which dynamically enables the user module. Because this function is accessible prior to authentication, a remote user can create a new account with administrative read/write permissions enabling the user module and imposing authentication under attacker-controlled credentials. This action can effectively lock legitimate operators out of local and web-based configuration and administration.
Характеристики атаки
Последствия
Строка CVSS v4.0