江森自控旗下ExacqVision视频监控系统暴高危漏洞可致远程攻击

知名网络安全公司Tenable的研究人员在建筑科技巨头江森自控(Johnson Controls)旗下的Exacq Technologies生产的视频监控系统中发现了严重高危漏洞。Tenable的零日研究团队在Exacq产品使用的ExacqVision web服务中发现了两个安全漏洞。Tenable、Johnson Controls和美国网络安全和基础设施安全局(CISA)最近发布了描述这些漏洞的咨询公告。

第一个漏洞称为直通账户安全问题，CVSS评分为9.8分。根据Tenable的说法，受影响的网络服务允许用户使用网络浏览器从ExacqVision服务器获取视频和其他数据。Web服务充当Web客户端和服务器之间的中介。

Tenable研究人员发现，如果ExacqVision服务器配置了一个所谓的直通帐户(pass - through account)，可以用于远程连接到服务器，未经身份验证的攻击者可以滥用它，以这个直通帐户的特权访问服务器。

Tenable在其建议中解释说:“如果直通帐户具有高权限(即完全管理员角色)，攻击者可以对ExacqVision服务器有更多的访问权限，包括添加一个具有完全管理员角色的用户。”“即使直通帐户拥有较低的特权(例如，受限制的角色)，攻击者仍然可以看到更多的特权信息。例如，只有完全管理员或超级用户角色的用户才能配置视频档案，但较低权限的用户可以看到存档配置中的直接搜索用户名和口令。”

第二个漏洞被描述为一个DoS问题，CVSS评分为8.8分。可以被远程的、未经身份验证的攻击者利用，通过发送特别制作的消息使服务器崩溃。

Tenable告诉《安全周刊》，攻击可以直接从互联网上发起，但该公司无法提供有关这些系统的暴露水平的任何信息。

“如果攻击者发现exaqVision软件暴露在互联网上的一个易受攻击的实例，他们可能能够在不经过身份验证的情况下获得对该软件的管理权限。这将允许他们更改配置、窃取数据、中断对exaqVision软件的访问，或完全禁用它，”Tenable解释道。

这些漏洞在7月下旬被报告给供应商，大约一个月后开发了补丁。根据Johnson Controls的说法，这些漏洞会影响32位版本的exacqVision Server 210.06.11.0和更老的版本。用户可以升级到21.9版本或升级到64位版本，以防止利用这些缺陷。

关于江森自控

美国江森自控有限公司有近130年的控制业经验，对建筑设施的精通举世无比。世界各地成千上万的商业、机构和政府建筑设施的业主和经理请江森自控有限公司为他们提供最舒适、最富成效、最安全和最节能的环境。江森自控公司不断发展成为一家国际公司，其下三百多间分公司及制造厂遍布美国，加拿大，德国，荷兰，意大利，日本，瑞士，新加坡，香港及世界各地150多个国家拥有100,000名专业员工，旗下拥有多个业内值得信赖的品牌。

江森自控于 1995 年在中国广州成立工厂，正式进入中国市场。目前，江森自控在中国有约 9000 名员工，9 家制造工厂，3 处研发基地，40 多个办事处和 100 多个销售支持点。