Kontroler budynkowy Honeywell IQ4x w konfiguracji fabrycznej udostępnia pełny interfejs webowy HMI bez jakiegokolwiek uwierzytelnienia, co oznacza, że każdy kto może dotrzeć do interfejsu HTTP uzyskuje pełne uprawnienia odczytu i zapisu. Jest to podatność krytyczna, ponieważ atakujący zdalnie i bez żadnych poświadczeń może przejąć kontrolę nad urządzeniem i zablokować dostęp legalnym operatorom.
▸ Pokaż oryginał (EN)
The Honeywell IQ4x building management controller, exposes its full web-based HMI without authentication in its factory-default configuration. With no user module configured, security is disabled by design and the system operates under a System Guest (level 100) context, granting read/write privileges to any party able to reach the HTTP interface. Authentication controls are only enforced after a web user is created via U.htm, which dynamically enables the user module. Because this function is accessible prior to authentication, a remote user can create a new account with administrative read/write permissions enabling the user module and imposing authentication under attacker-controlled credentials. This action can effectively lock legitimate operators out of local and web-based configuration and administration.
W konfiguracji fabrycznej moduł użytkowników nie jest aktywowany, a system działa w kontekście konta System Guest (poziom 100) z uprawnieniami odczytu i zapisu dla każdego klienta HTTP. Kontrola uwierzytelnienia jest włączana dopiero po utworzeniu pierwszego użytkownika webowego poprzez stronę U.htm, która dynamicznie aktywuje moduł użytkowników. Ponieważ strona U.htm jest dostępna przed uwierzytelnieniem, zdalny atakujący może bez żadnych poświadczeń utworzyć nowe konto administracyjne z uprawnieniami odczytu i zapisu, tym samym aktywując moduł uwierzytelnienia pod kontrolowanymi przez siebie danymi. W efekcie legalni operatorzy tracą dostęp zarówno do lokalnej, jak i webowej konfiguracji urządzenia.
Atakujący może zdalnie i bez uwierzytelnienia uzyskać pełne uprawnienia administracyjne do kontrolera budynkowego, modyfikować jego konfigurację oraz trwale zablokować dostęp legalnym operatorom poprzez przejęcie mechanizmu uwierzytelnienia.
Należy niezwłocznie skonfigurować konto webowego użytkownika poprzez stronę U.htm w celu aktywowania modułu uwierzytelnienia i wymuszenia kontroli dostępu. Urządzenie nie powinno być wystawiane na publicznie dostępne sieci bez uprzedniej konfiguracji uwierzytelnienia. Należy zastosować patche dostępne u producenta zgodnie z referencjami (ICSA-26-069-03) oraz zapoznać się z zaleceniami CISA pod adresem https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-03
Honeywell IQ4x building management controller w konfiguracji fabrycznej (bez skonfigurowanego modułu użytkowników); szczegółowe wersje wskazane w referencjach producenta (ICSA-26-069-03)
Podatność opisana w poradniku ICS CISA o numerze ICSA-26-069-03, opublikowanym 12 marca 2026 roku. Dotyczy infrastruktury OT (systemy zarządzania budynkiem), co zwiększa potencjalny wpływ na bezpieczeństwo fizyczne obiektu.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XHoneywell Iq412
HWHoneywellwszystkie wersjeHoneywell Iq412 Firmware
OSHoneywell< 3.30Honeywell Iq41x
HWHoneywellwszystkie wersjeHoneywell Iq41x Firmware
OSHoneywell< 3.30Honeywell Iq422
HWHoneywellwszystkie wersjeHoneywell Iq422 Firmware
OSHoneywell< 3.30Honeywell Iq4e
HWHoneywellwszystkie wersjeHoneywell Iq4e Firmware
OSHoneywell< 3.30Honeywell Iq4nc
HWHoneywellwszystkie wersjeHoneywell Iq4nc Firmware
OSHoneywell< 3.30
Powiązane podatności
OS Command Injection w Honeywell MB-Secure i MB-Secure PRO (privilege abuse)
Uwierzytelniony RCE w LenelS2 NetBox (wersje do 5.6.1 włącznie)
Nieuwierzytelniony RCE w Honeywell LenelS2 NetBox (command injection)
Nieautoryzowana modyfikacja plików w Honeywell ControlEdge UOC i VirtualUOC
Improper Input Validation vulnerability in Honeywell PM43 on 32 bit, ARM (Printer web page modules) allows Com...