ABB智慧建築能源管理系統存在重大漏洞，恐讓攻擊者接管、遠端執行程式碼

10月底資安業者VulnCheck發布工控系統資安警告，主角是ABB智慧建築能源管理系統Cylon Aspect的漏洞CVE-2023-0636、CVE-2024-6209，根據他們的調查，全球有265套系統可透過網際網路存取，但有214個尚未修補，由於近期已有公開的概念性驗證程式碼（PoC），很有可能接下來就會有人將其用於實際攻擊。

其中，命令注入漏洞CVE-2023-0636最令人擔心！攻擊者有機會在未經身分驗證的情況下，遠端利用漏洞執行程式碼，而且，ABB起初評為高風險層級，CVSS風險值為7.2，但後來美國國家漏洞資料庫（NVD）評為9.8分。為何前後評分出現如此懸殊的差距？原因在於當時ABB認為，攻擊者想要利用漏洞，前提是必須通過身分驗證，但相關研究後續指出並非如此，問題在於身分驗證流程並未完全強制執行，而讓攻擊者有機可乘。

研究人員提及，9月下旬專門研究工控系統的資安研究員Gjoko Krstic（又稱Liquid Worm）公布了該漏洞的PoC程式碼，他們檢視其內容，指出攻擊者若要利用這項漏洞，能夠使用多種方法進行命令注入，而且幾乎沒有難度。

另一個漏洞CVE-2024-6209，問題也不小，因為這是未經授權的檔案洩露弱點，攻擊者能藉此取得使用者的明文帳密資料，並用於命令注入或是遠端執行程式碼，4.0版CVSS風險評為9.4。