美国CISA披露Johnson Controls旗下两款产品存在超危信息泄露漏洞
字数 1276 2025-08-15 21:30:53

Johnson Controls产品高危信息泄露漏洞分析与防护指南

漏洞概述

美国网络安全和基础设施安全局(CISA)披露了Johnson Controls公司旗下两款产品的超危信息泄露漏洞(CVE-2020-9045),该漏洞CVSS v3评分为9.9分(超危级别),影响以下产品:

  1. Software House C•CURE 9000 - 版本2.70

    • 可扩展的多站点访问控制和警报监控系统

  2. American Dynamics victor Video Management System - 版本5.2

    • 监控视频管理系统

漏洞技术细节

漏洞成因

在安装或升级到受影响版本的过程中,系统会执行以下不安全操作:

  1. 安装/升级过程中使用的Windows账户凭据被明文保存在日志文件中
  2. 安装完成后,这些包含敏感信息的日志文件未被自动清除
  3. 凭据以明文形式存储,无任何加密保护

受影响文件位置

漏洞相关的日志文件存储在Windows系统的以下路径:

c:\programdata\tyco\installertemp

攻击利用方式

远程攻击者可通过以下方式利用此漏洞:

  1. 获取对系统的访问权限(可能通过其他漏洞或配置不当)
  2. 定位并读取上述路径下的安装日志文件
  3. 提取其中存储的Windows用户凭据(用户名和密码)
  4. 使用这些凭据访问应用程序或其他系统资源

影响范围

受影响产品版本

  • Software House C•CURE 9000 - 2.70版本
  • American Dynamics victor Video Management System - 5.2版本

潜在影响

  1. 凭据泄露:Windows账户凭据可能被窃取
  2. 系统入侵:攻击者可获得对系统的未授权访问
  3. 权限提升:可能利用获取的凭据进行横向移动
  4. 数据泄露:可能访问敏感监控数据或门禁控制系统

解决方案

官方修复措施

Johnson Controls已发布修复版本,建议用户:

  1. 升级到最新版本(高于受影响版本)
  2. 从以下路径删除安装日志文件: 
    c:\programdata\tyco\installertemp
  3. 修改用于安装/升级的Windows账户密码

临时缓解措施

若无法立即升级,建议采取以下措施:

  1. 手动删除安装日志文件 
    del /f /q c:\programdata\tyco\installertemp\*
  2. 限制对上述目录的访问权限
    • 设置严格的ACL,仅允许必要账户访问
  3. 监控可疑的登录活动
  4. 实施网络分段,限制对管理接口的访问

企业防护建议

  1. 漏洞管理

    • 建立定期漏洞扫描机制
    • 及时关注CISA和厂商安全公告

  2. 凭据管理

    • 使用专用服务账户进行安装/升级
    • 定期轮换服务账户密码
    • 实施最小权限原则

  3. 日志审计

    • 监控对敏感目录的访问
    • 记录并分析特权账户活动

  4. 备份与恢复

    • 在实施修复前备份关键数据
    • 制定应急响应计划

历史背景

Johnson Controls于2016年合并了Tyco International公司,Tyco Security及其产品线(包括受影响的两款产品)随之归属于Johnson Controls。此漏洞影响的产品原本属于Tyco Security产品线。

参考资源

  1. CISA安全公告
  2. Johnson Controls安全公告
  3. CVE-2020-9045漏洞详情
  4. CVSS v3评分标准
Johnson Controls产品高危信息泄露漏洞分析与防护指南 漏洞概述 美国网络安全和基础设施安全局(CISA)披露了Johnson Controls公司旗下两款产品的超危信息泄露漏洞(CVE-2020-9045),该漏洞CVSS v3评分为9.9分(超危级别),影响以下产品: Software House C•CURE 9000 - 版本2.70 可扩展的多站点访问控制和警报监控系统 American Dynamics victor Video Management System - 版本5.2 监控视频管理系统 漏洞技术细节 漏洞成因 在安装或升级到受影响版本的过程中,系统会执行以下不安全操作: 安装/升级过程中使用的Windows账户凭据被明文保存在日志文件中 安装完成后,这些包含敏感信息的日志文件未被自动清除 凭据以明文形式存储,无任何加密保护 受影响文件位置 漏洞相关的日志文件存储在Windows系统的以下路径: 攻击利用方式 远程攻击者可通过以下方式利用此漏洞: 获取对系统的访问权限(可能通过其他漏洞或配置不当) 定位并读取上述路径下的安装日志文件 提取其中存储的Windows用户凭据(用户名和密码) 使用这些凭据访问应用程序或其他系统资源 影响范围 受影响产品版本 Software House C•CURE 9000 - 2.70版本 American Dynamics victor Video Management System - 5.2版本 潜在影响 凭据泄露 :Windows账户凭据可能被窃取 系统入侵 :攻击者可获得对系统的未授权访问 权限提升 :可能利用获取的凭据进行横向移动 数据泄露 :可能访问敏感监控数据或门禁控制系统 解决方案 官方修复措施 Johnson Controls已发布修复版本,建议用户: 升级到最新版本(高于受影响版本) 从以下路径删除安装日志文件: 修改用于安装/升级的Windows账户密码 临时缓解措施 若无法立即升级,建议采取以下措施: 手动删除安装日志文件 限制对上述目录的访问权限 设置严格的ACL,仅允许必要账户访问 监控可疑的登录活动 实施网络分段,限制对管理接口的访问 企业防护建议 漏洞管理 : 建立定期漏洞扫描机制 及时关注CISA和厂商安全公告 凭据管理 : 使用专用服务账户进行安装/升级 定期轮换服务账户密码 实施最小权限原则 日志审计 : 监控对敏感目录的访问 记录并分析特权账户活动 备份与恢复 : 在实施修复前备份关键数据 制定应急响应计划 历史背景 Johnson Controls于2016年合并了Tyco International公司,Tyco Security及其产品线(包括受影响的两款产品)随之归属于Johnson Controls。此漏洞影响的产品原本属于Tyco Security产品线。 参考资源 CISA安全公告 Johnson Controls安全公告 CVE-2020-9045漏洞详情 CVSS v3评分标准