首頁 > 安全研究 > 安全通報 > 安全通告

Johnson Controls Kantech EntraPass嚴重漏洞風險通告

發布時間 2020-03-11

漏洞編號和級別

CVE編號：CVE-2019-7589，危險級別：嚴重，CVSS分值：廠商自評：9.8，官方未評定

影響版本

Kantech EntraPass security management software如下版本：

Corporate Edition: v8.10之前所有版本

Global Edition: v8.10之前所有版本

漏洞概述

Johnson Controls Kantech EntraPass是美國江森自控（JohnsonControls）公司的安防管理系統。

Johnson Controls Kantech EntraPass中的SmartService API服務選項存在一個漏洞，未經授權的用戶可能會利用此漏洞將惡意代碼上載到服務器，該服務器可以以系統級權限執行。

漏洞驗證

暫無PoC/EXP。

修復建議

目前官方已發布新版本8.10修復漏洞，鏈接：https://www.johnsoncontrols.com/cyber-solutions/security-advisories。

緩解措施：按如下步驟禁用SmartService API。

1. Disable "Use Web Service" within the EntraPass Software.

2. Disable the SmartService from an admin command prompt.

sc config “Kantech.SmartService” start=disabled

sc stop “Kantech.SmartService”

3. Uninstall the SmartService API from Apps & features.

參考鏈接

https://www.us-cert.gov/ics/advisories/icsa-20-070-04

7*24小時服務熱線

400-624-3900

官方微信

官方微博

法律聲明

網絡安全防護

網絡安全檢測

應用安全

數據安全

安全管理

云安全

工控安全

移動及終端安全

密碼應用安全

大模型應用安全

專業安全服務

安全運營中心

知白學院

威脅情報中心

安全團隊

售后服務

公司概況

新聞動態

技術專題

人才招聘

投資者關系

資源中心

聯系我們

安全研究

Johnson Controls Kantech EntraPass嚴重漏洞風險通告

關于我們

解決方案

聯系我們

7*24小時服務熱線