Siemens, BACnet paneli güvenlik açıkları için önemli bir güncelleme yayınladı.

Siemens BACnet Field bina otomasyon ürünleri için bu hafta, biri önceliği yüksek olarak sınıflandırılmış, iki güvenlik açığı için yazılımı güncellemesi yayınladı.

Güvenlik açıkları, 3.5 yazılım sürümünden daha eski sürümleri çalıştıran APOGEE PXC ve TALON TC BACnet otomasyon kontrol cihazlarını etkiliyor. Etkilenen cihazlar ticari tesislerde ısıtma, havalandırma ve klima (HVAC) ekipmanını kontrol etmek için yaygın şekilde kullanılıyor.


CVE-2017-9946 olarak tanımlanan kusurun, risk puanı CVSS 7.5 olarak belirtiliyor. US-CERT tarafından yayınlanan güvenlik açıklamasına göre, tümleşik web sunucusu üzerinden erişim yetkisine sahip ve kimliği doğrulanmamış bir kişi, hassas bilgileri indirmek için açıkları kullanabilir.

CVE-2017-9947 olarak bildirilen  ikinci  güvenlik açığı ise bir saldırgan tarafından savunmasız aygıtlardaki dosya sisteminin yapısı hakkında bilgi edinmek üzere kullanılabilecek bir dizin geçişi sorunundan kaynaklanıyor. Bu güvenlik açığından faydalanabilmek için web sunucusuna ağdan erişim gerekiyor.