網路安全研究員 Gjoko Krstic 因其對樓宇控制系統的分析和對高影響漏洞的發現而聞名於業內，他最近對霍尼韋爾的 IQ4 控制器進行了調查。據 Krstic 稱，該產品在出廠預設配置下，無需身份驗證即可公開其基於 Web 的人機介面 (HMI)。

研究人員還發現，如果產品配置不當，並且在設定過程中未啟用使用者模組，則有權存取管理介面的遠端攻擊者可以在合法使用者設定帳戶之前建立具有管理員權限的帳戶。

Krstic在本週發布的 一份公告中表示：此舉可能會有效地阻止合法運營商進行本地和基於網絡的配置和管理。研究人員警告說，該漏洞可能會使學校、商業建築和其他使用該樓宇控制系統的設施面臨風險。

調查結果已於 2025 年 12 月報告給霍尼韋爾，但該供應商顯然沒有發布任何補丁，理由是 IQ4 產品是為本地使用而設計的，不應該暴露在互聯網上。

霍尼韋爾在給《安全周刊》的聲明中表示：IQ4 設備交付時未進行配置，需要經過培訓的技術人員進行設置才能投入使用。研究人員描述的情況只能發生在短暫的安裝階段，系統尚未激活，或者在無視明確警告的情況下故意禁用安全設置。

霍尼韋爾補充道：在這個階段，該設備無法監控或控制任何設備，也不會對運營造成任何影響。任何安裝問題都可以通過標準重置來解決，而且如果按照正常流程安裝，安全功能會根據默認安全設計自動啟用。

然而，這位研究人員不同意這項說法以及霍尼韋爾的風險評估。Krstic表示，他發現了近7,500個該產品暴露在網路上的實例，估計其中20%無需身份驗證即可存取。該研究人員也對霍尼韋爾公司的說法提出質疑，即如果該設備沒有完全設定好，就無法監控或控制任何設備。

Krstic告訴《安全周刊》：我見過一些安裝過程中沒有創建用戶帳戶，但我能夠修改照明和溫度等組件，關閉鍋爐或冷卻器，以及對控制設備進行其他操作。SecurityWeek可以確認許多 IQ4 介面實例暴露在網際網路上，但尚未核實其他說法。

Krstic表示，漏洞的CVE編號正在申請中。這位研究人員最近也聯繫了卡內基美隆大學的CERT協調中心（CERT/CC），該中心經常負責協調漏洞揭露事宜。

資料來源：https://www.securityweek.com/honeywell-researcher-clash-over-impact-of-building-controller-vulnerability/