Gesloten cyclus: Waarneming → Onderzoek → Evaluatie → Feedback Pentest + Red Teaming (risicogebaseerd) CTEM + AEV voor continu valideren
Eerste lijn in control • NCSC aligned • Traceability
Publiek EUVD item

EUVD-2026-11706

CVSS: 10.0 EPSS: 0.0 CVSS v4.0

Publicatie: 2026-03-12 · Update: 2026-03-12

Samenvatting

De Honeywell IQ4x gebouwbeheercontroller stelt in de standaard fabrieksconfiguratie de volledige webgebaseerde HMI zonder verificatie beschikbaar. Als er geen gebruikersmodule is geconfigureerd, is de beveiliging per ontwerp uitgeschakeld en werkt het systeem onder een System Guest (niveau 100) context, waardoor lees-/schrijfrechten worden toegekend aan iedereen die de HTTP-interface kan bereiken. Authenticatiecontroles worden alleen afgedwongen nadat een webgebruiker is aangemaakt via U.htm, waardoor de gebruikersmodule dynamisch wordt ingeschakeld. Omdat deze functie toegankelijk is voordat de authenticatie plaatsvindt, kan een gebruiker op afstand een nieuwe account aanmaken met beheerdersrechten voor lezen en schrijven om de gebruikersmodule in te schakelen en authenticatie op te leggen onder controle van de aanvaller. Deze actie kan legitieme gebruikers effectief uitsluiten van lokale en webgebaseerde configuratie en beheer.

Wat betekent dit praktisch?

  • Gebruik dit als externe signalering, niet als automatisch bewijs van impact op jouw omgeving.
  • Als je dit item intern wilt triagen: noteer versies, exposure (internet/intern) en exploit-signalering.
  • In HackSec kun je dit koppelen aan stack-profielen en alert policies (achter login).
Terug Inloggen