В сфере информационной безопасности критически важных промышленных систем периодически обнаруживаются фундаментальные просчёты, ставящие под угрозу безопасность целых зданий и предприятий. На этот раз исследователи из Zero Science Lab раскрыли уязвимость в контроллерах Honeywell Trend IQ4xx серии, которые являются ключевыми компонентами систем автоматизации зданий (Building Management System, BMS). Суть проблемы заключается в том, что в конфигурации по умолчанию веб-интерфейс управления устройством полностью открыт и не требует какой-либо аутентификации, что позволяет удалённому злоумышленнику получить полный административный контроль над системой.
Детали уязвимости
Уязвимость, получившая идентификатор ZSL-2026-5979, была обнародована 2 марта 2026 года после нескольких месяцев ограниченного взаимодействия с вендором. Контроллеры серии IQ4xx широко применяются в коммерческих зданиях, учебных заведениях и на промышленных объектах для управления системами вентиляции, кондиционирования и отопления (HVAC), энергоснабжения, а также для работы с масштабируемыми операциями ввода-вывода. Эти устройства функционируют в сетях Ethernet, поддерживают протокол BACnet/IP и часто выступают центральными узлами в комплексных сетях автоматизации.
Основной недостаток, перерастающий в критическую уязвимость, кроется в логике работы контроллера при первоначальной настройке. Если веб-пользователь не создан вручную, система безопасности отключена полностью. Устройство работает в контексте системного пользователя с максимальным уровнем привилегий (уровень 100), предоставляя неограниченный доступ на чтение и запись любому, кто может обратиться к его HTTP-интерфейсу. Аутентификация активируется только после создания учётной записи через специальную страницу "U.htm". Однако парадокс и главная опасность в том, что эта самая страница создания пользователя доступна до того, как аутентификация включена. Таким образом, удалённый атакующий может перейти на эту страницу, создать учётную запись администратора с контролируемыми им данными и моментально заблокировать законных операторов как от локального, так и от веб-доступа, осуществив полный захват управления. Кроме того, исследователи обнаружили скрытую диагностическую конечную точку ("/^.htm"), что дополнительно расширяет поверхность атаки для неавторизованных пользователей.
Под угрозой находятся контроллеры моделей IQ4E, IQ412, IQ422 с прошивкой 4.36; IQ4NC, IQ41x с прошивкой 4.34; а также более ранние модели IQ3 и IQECO с прошивками 3.52, 3.50 и 3.44. Ответ группы реагирования на инциденты безопасности продукции компании Honeywell, поступивший в конце января 2026 года, не удовлетворил экспертов. Вендор заявил, что контроллер IQ4 является локальным продуктом, не предназначенным для прямого выхода в интернет, и рекомендовал доверять установку и настройку только квалифицированному техническому персоналу. Этот ответ, однако, не затрагивал сути проблемы - небезопасного состояния по умолчанию. Поскольку назначения идентификатора уязвимости (Common Vulnerabilities and Exposures, CVE) и исправления от производителя не последовало, исследователи эскалировали вопрос через координационный центр CERT (VU#854120) и уведомили Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 26 февраля 2026 года. К моменту публикации рекомендаций ответа от Honeywell так и не поступило. Вместе с отчётом был опубликован проверочный сценарий "trendhmi.py", демонстрирующий возможность неавторизованного взаимодействия с интерфейсом управления.
Последствия эксплуатации данной уязвимости могут быть катастрофическими. Злоумышленник, получивший контроль над системой управления зданием, способен нарушить работу критической инфраструктуры: отключить вентиляцию и климат-контроль в больнице или серверной, манипулировать энергопотреблением, что может привести к физическому повреждению оборудования, или заблокировать доступ к системе для штатных инженеров. В контексте современных угроз, когда группы, продвигающие программы-вымогатели, активно атакуют промышленные объекты, такая уязвимость становится лакомой целью для киберпреступников, стремящихся к финансовой выгоде, или для групп, занимающихся целевыми атаками.
Что же делать организациям, использующим данные устройства? Поскольку официальный патч на данный момент отсутствует, критически важно немедленно применить комплекс мер по снижению рисков. В первую очередь, необходимо создать веб-учётную запись через страницу "U.htm" на каждом развёрнутом контроллере IQ4xx, чтобы активировать механизм аутентификации. Во-вторых, следует обеспечить строгую сетевую изоляцию контроллеров BMS, разместив их в выделенных сегментах сети, защищённых межсетевыми экранами. Все пути удалённого доступа должны быть отключены, если они не являются абсолютно необходимыми для функционирования. Кроме того, требуется провести аудит сетевой инфраструктуры на предмет наличия контроллеров в плоских, несегментированных сетях, где они могут быть неоправданно доступны с других узлов. Ключевым шагом является также мониторинг официальных источников, таких как бюллетени CISA и сайт Honeywell, на предмет выхода обновлений прошивки или официальных рекомендаций. Данный инцидент в очередной раз подчёркивает, что безопасность «умных» зданий и промышленных систем начинается не с сложных средств защиты, а с базовых принципов: изменения паролей по умолчанию, активации аутентификации и грамотной сегментации сети. Игнорирование этих шагов на этапе внедрения превращает технологичные системы в лёгкую мишень для кибератак.
