需要采取紧急行动：ABB ASPECT 漏洞使建筑物面临网络攻击

ABB 针对其楼宇能源管理平台 ASPECT 系统发布了重要网络安全公告。该公告于2024年12月5日发布，详细描述了多个漏洞，这些漏洞可能允许攻击者远程控制该系统并执行恶意代码。

这些漏洞影响到 ASPECT 的不同版本，包括未经授权的访问和远程代码执行，以及跨站脚本和拒绝服务攻击。ABB 已将 CVSS v3.1 基本分高达 10.0，表明了这些漏洞的严重性。

该公告强调了许多漏洞，包括：

• CVE-2024-6298 (CVSS 10)：远程代码执行 (RCE)
  输入验证不当可允许攻击者远程执行任意代码。ABB 指出，“攻击者可以成功利用这些漏洞，远程控制产品，并可能插入和运行任意代码”。

• CVE-2024-6515 (CVSS 9.6)：明文密码
  密码可能以明文或 Base64 编码处理，增加了意外暴露凭证的风险。

• CVE-2024-51551 (CVSS 10)：默认凭据
  使用公开默认凭据的设备容易受到未经授权的访问，因此需要立即更新凭据。

• CVE-2024-51549 (CVSS 10)：绝对路径遍历
  该漏洞可访问和修改非预期资源，带来重大安全风险。

该公告强调，ASPECT 设备的设计并非面向互联网。ABB 重申了之前向客户发出的警告，指出：“ASPECT 设备并非面向互联网。2023 年 6 月发布的产品公告向客户告知了这一参数。”

尽管如此，只有当攻击者能够访问安装了 ASPECT 并直接暴露于互联网的网段时，才能利用本公告中报告的漏洞。

ABB 感谢 Zero Science Lab 的 Gjoko Krstikj 负责任地报告了这些漏洞。公司已发布固件更新来解决这些问题，并敦促客户立即应用这些更新。

为降低风险，ABB 概述了以下即时步骤：

1. 断开暴露于互联网的设备的连接
   移除任何直接连接到互联网或配置了不安全网络设置的 ASPECT 系统。

2. 升级固件
   确保所有 ASPECT 产品更新到 3.08.03 或更新版本，以解决这些漏洞。

3. 实施安全访问控制
   使用安全的虚拟专用网络（VPN）进行远程访问，并确保防火墙保护 ASPECT 安装。

4. 更改默认凭据
   ABB强调，安装后立即更改默认密码至关重要。