Zero Science Labのセキュリティ研究者は、ハニウェルのTrend IQ4xxシリーズのBuilding Management System(BMS)コントローラーの重大な脆弱性を開示しました。これらのデバイスは、工場出荷時のデフォルト設定で、認証なしに完全なウェブベースのHuman-Machine Interface(HMI)を露出していることが明らかになりました。
ZSL-2026-5979として追跡されたこのアドバイザリーは、数ヶ月間の限定的なベンダーとの協力の後、2026年3月2日に公開されました。
デフォルトで認証なし – 設計通り
ハニウェル IQ4xxシリーズ コントローラーは、商業ビル、学校、および産業施設に広く展開されており、HVAC システム、エネルギー制御、および最大192 I/OポイントをサポートするスケーラブルなI/O操作を管理します。
これらはEthernetおよびTCP/IP経由で動作し、BACnet over IPをサポートし、統一されたビルディングオートメーションネットワークの中央ノードとして機能します。
コアの欠陥は、コントローラーがデフォルト状態をどのように処理するかにあります。ユーザーモジュールが構成されていない場合、セキュリティは完全に無効化され、システムは特権レベル100のシステムユーザーコンテキストで実行されます。これはHTTPインターフェースに到達できる誰でも、完全な読み取り/書き込みアクセスを許可します。
認証は、U.htmエンドポイント経由でウェブユーザーが手動で作成された後にのみ有効になります。
重要なことに、その同じU.htmページは認証が実装される前にアクセス可能です。これは、リモート攻撃者がページにアクセスし、攻撃者が制御する認証情報で管理者アカウントを作成し、ローカルおよびウェブベースの管理の両方から正規のオペレーターを即座にロックアウトすることができることを意味します。完全な管理権乗っ取りです。
隠された診断エンドポイント(/^.htmまたは/%5E.htm)も特定されました。これは認証されていないユーザーに利用可能な攻撃表面をさらに拡大します。Zero Science Labが報告した通りです。
影響を受けるバージョン
| モデル | ファームウェアバージョン |
|---|---|
| IQ4E, IQ412, IQ422 | 4.36 (ビルド 4.3.7.9) |
| IQ4NC, IQ41x | 4.34 (ビルド 4.3.5.14) |
| IQ3, IQECO | 3.52 (ビルド 3.5.3.15), 3.50, 3.44 |
ハニウェルのPSIRTは2026年1月後半に応答し、IQ4コントローラーはオンプレミス製品であり、直接インターネット露出を意図していないと述べ、技術的に適格な人員のみがインストールと構成を処理することを推奨しました。
この応答は、不安全なデフォルト状態自体に対処しませんでした。
CVE割り当てもパッチも予定されていないため、研究者はCERT/CC(VU#854120)を通じてケースをエスカレートし、2026年2月26日にCISAに通知しました。アドバイザリーの公開日までに、ハニウェルは応答していませんでした。
概念実証スクリプトtrendhmi.pyがアドバイザリーと共に公開され、認証されていないHMI相互作用を実証しています。
軽減措置の推奨事項
- すべての展開されたIQ4xxコントローラーで認証を有効化するために、
U.htm経由でウェブユーザーアカウントを直ちに作成してください - BMSコントローラーを専用のファイアウォール保護されたネットワークセグメントに分離してください
- 厳密に必要な場合を除き、リモートアクセスパスを無効化してください
- IQ4xxデバイスが到達可能なすべてのフラットネットワーク環境を監査してください
- 公式パッチリリースについてCISAおよびハニウェルのアドバイザリーを監視してください
翻訳元: https://gbhackers.com/honeywell-controllers-widely-exposed/
