约翰逊控制 Frick Quantum HD 工业控制系统曝重大漏洞

约翰逊控制 Frick Quantum HD 工业控制系统发现重大漏洞

美国网络安全与基础设施安全局（CISA）近日发布安全公告，警告**约翰逊控制公司（Johnson Controls Inc.）**的 Frick Quantum HD 工业控制系统中存在多个高危漏洞。这些漏洞于 2026 年 2 月 27 日 披露，可能允许威胁行为者执行远程代码、触发拒绝服务（DoS）攻击，或获取对关键基础设施环境的未授权访问。

漏洞技术细节

这些漏洞影响 Frick Quantum HD 系统，该系统广泛应用于工业领域的暖通空调（HVAC）和制冷控制。已确认的漏洞包括：

• CVE-2026-XXXX1（CVSS 9.8）——远程代码执行（RCE）：系统 Web 界面中的缓冲区溢出漏洞可能允许未经身份验证的攻击者以提升权限执行任意代码。
• CVE-2026-XXXX2（CVSS 8.6）——拒绝服务（DoS）：控制协议解析器中的输入验证不当可能导致攻击者使系统崩溃，从而中断运行。
• CVE-2026-XXXX3（CVSS 7.5）——身份验证绕过：会话管理机制中的缺陷可能允许未经授权的用户访问管理功能。

这些漏洞源于受影响固件版本中存在的输入净化不足、内存处理不安全以及身份验证机制薄弱等问题。

影响分析

这些漏洞的利用可能对工业环境造成严重后果，包括：

• 运行中断：成功的 DoS 攻击可能导致制冷或 HVAC 系统停机，进而造成设备损坏或安全隐患。
• 未授权控制：RCE 漏洞可能使攻击者操纵系统设置，导致物理损坏或安全风险。
• 横向移动：被攻陷的 Quantum HD 系统可能成为工业控制系统（ICS）环境中更深入网络渗透的入口点。

目前，约翰逊控制尚未报告这些漏洞在野外被主动利用，但其高危等级要求资产所有者立即采取行动。

缓解措施与建议

CISA 与约翰逊控制敦促受影响的组织采取以下措施：

1. 立即应用补丁：约翰逊控制已发布固件更新，修复这些漏洞。资产所有者应优先为受影响的 Quantum HD 系统打补丁。
2. 网络隔离：将 Quantum HD 系统与企业网络隔离，并限制仅授权人员访问。
3. 监控可疑活动：部署入侵检测系统（IDS）以检测异常流量或未经授权的访问尝试。
4. 禁用不必要的服务：通过禁用未使用的 Web 界面或远程访问功能，最小化攻击面。
5. 查阅 CISA 公告：参考 CISA 官方公告（ICSA-26-058-01） 获取详细缓解指南。

使用 Frick Quantum HD 系统的组织应评估其暴露风险，并在无法立即打补丁的情况下实施补偿控制措施。