CRITICAL🇬🇧 English

CVE-2026-3611

Honeywell IQ4x — brak uwierzytelnienia w fabrycznym HMI (CWE-306)

CVSS 10.0v4.0pub. 2026-03-12upd. 2026-06-05

Kontroler budynkowy Honeywell IQ4x w konfiguracji fabrycznej udostępnia pełny interfejs webowy HMI bez jakiegokolwiek uwierzytelnienia, co oznacza, że każdy kto może dotrzeć do interfejsu HTTP uzyskuje pełne uprawnienia odczytu i zapisu. Jest to podatność krytyczna, ponieważ atakujący zdalnie i bez żadnych poświadczeń może przejąć kontrolę nad urządzeniem i zablokować dostęp legalnym operatorom.

Pokaż oryginał (EN)

The Honeywell IQ4x building management controller, exposes its full web-based HMI without authentication in its factory-default configuration. With no user module configured, security is disabled by design and the system operates under a System Guest (level 100) context, granting read/write privileges to any party able to reach the HTTP interface. Authentication controls are only enforced after a web user is created via U.htm, which dynamically enables the user module. Because this function is accessible prior to authentication, a remote user can create a new account with administrative read/write permissions enabling the user module and imposing authentication under attacker-controlled credentials. This action can effectively lock legitimate operators out of local and web-based configuration and administration.

🤖 Analiza AI
Jak działa

W konfiguracji fabrycznej moduł użytkowników nie jest aktywowany, a system działa w kontekście konta System Guest (poziom 100) z uprawnieniami odczytu i zapisu dla każdego klienta HTTP. Kontrola uwierzytelnienia jest włączana dopiero po utworzeniu pierwszego użytkownika webowego poprzez stronę U.htm, która dynamicznie aktywuje moduł użytkowników. Ponieważ strona U.htm jest dostępna przed uwierzytelnieniem, zdalny atakujący może bez żadnych poświadczeń utworzyć nowe konto administracyjne z uprawnieniami odczytu i zapisu, tym samym aktywując moduł uwierzytelnienia pod kontrolowanymi przez siebie danymi. W efekcie legalni operatorzy tracą dostęp zarówno do lokalnej, jak i webowej konfiguracji urządzenia.

Skutki

Atakujący może zdalnie i bez uwierzytelnienia uzyskać pełne uprawnienia administracyjne do kontrolera budynkowego, modyfikować jego konfigurację oraz trwale zablokować dostęp legalnym operatorom poprzez przejęcie mechanizmu uwierzytelnienia.

Mitygacja

Należy niezwłocznie skonfigurować konto webowego użytkownika poprzez stronę U.htm w celu aktywowania modułu uwierzytelnienia i wymuszenia kontroli dostępu. Urządzenie nie powinno być wystawiane na publicznie dostępne sieci bez uprzedniej konfiguracji uwierzytelnienia. Należy zastosować patche dostępne u producenta zgodnie z referencjami (ICSA-26-069-03) oraz zapoznać się z zaleceniami CISA pod adresem https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-03

Kogo dotyczy

Honeywell IQ4x building management controller w konfiguracji fabrycznej (bez skonfigurowanego modułu użytkowników); szczegółowe wersje wskazane w referencjach producenta (ICSA-26-069-03)

Uwagi

Podatność opisana w poradniku ICS CISA o numerze ICSA-26-069-03, opublikowanym 12 marca 2026 roku. Dotyczy infrastruktury OT (systemy zarządzania budynkiem), co zwiększa potencjalny wpływ na bezpieczeństwo fizyczne obiektu.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Honeywell Iq412

    HW
    Honeywell
    wszystkie wersje
  • Honeywell Iq412 Firmware

    OS
    Honeywell
    < 3.30
  • Honeywell Iq41x

    HW
    Honeywell
    wszystkie wersje
  • Honeywell Iq41x Firmware

    OS
    Honeywell
    < 3.30
  • Honeywell Iq422

    HW
    Honeywell
    wszystkie wersje
  • Honeywell Iq422 Firmware

    OS
    Honeywell
    < 3.30
  • Honeywell Iq4e

    HW
    Honeywell
    wszystkie wersje
  • Honeywell Iq4e Firmware

    OS
    Honeywell
    < 3.30
  • Honeywell Iq4nc

    HW
    Honeywell
    wszystkie wersje
  • Honeywell Iq4nc Firmware

    OS
    Honeywell
    < 3.30
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-2605CRITICAL9.9PL ✓ten sam vendor

OS Command Injection w Honeywell MB-Secure i MB-Secure PRO (privilege abuse)

CVE-2024-2422CRITICAL9.3PL ✓ten sam vendor

Uwierzytelniony RCE w LenelS2 NetBox (wersje do 5.6.1 włącznie)

CVE-2024-2421CRITICAL9.3PL ✓ten sam vendor

Nieuwierzytelniony RCE w Honeywell LenelS2 NetBox (command injection)

CVE-2023-5389CRITICAL9.1PL ✓ten sam vendor

Nieautoryzowana modyfikacja plików w Honeywell ControlEdge UOC i VirtualUOC

CVE-2023-3710CRITICAL9.9ten sam vendor

Improper Input Validation vulnerability in Honeywell PM43 on 32 bit, ARM (Printer web page modules) allows Com...