Johnson Controls Kantech EntraPass严重漏洞风险通告
发布时间 2020-03-11漏洞编号和级别
CVE编号:CVE-2019-7589,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定
影响版本
Kantech EntraPass security management software如下版本:
Corporate Edition: v8.10之前所有版本
Global Edition: v8.10之前所有版本
漏洞概述
Johnson Controls Kantech EntraPass是美国江森自控(JohnsonControls)公司的安防管理系统。
Johnson Controls Kantech EntraPass中的SmartService API服务选项存在一个漏洞,未经授权的用户可能会利用此漏洞将恶意代码上载到服务器,该服务器可以以系统级权限执行。
漏洞验证
暂无PoC/EXP。
修复建议
目前官方已发布新版本8.10修复漏洞,链接:https://www.johnsoncontrols.com/cyber-solutions/security-advisories。
缓解措施:按如下步骤禁用SmartService API。
1. Disable "Use Web Service" within the EntraPass Software.
2. Disable the SmartService from an admin command prompt.
sc config “Kantech.SmartService” start=disabled
sc stop “Kantech.SmartService”
3. Uninstall the SmartService API from Apps & features.
参考链接
https://www.us-cert.gov/ics/advisories/icsa-20-070-04