ホンダコントローラーが認証なしで広範囲に公開

ゼロサイエンスラボのセキュリティ研究者は、ホンダのトレンドIQ4xxシリーズのビルディングマネージメントシステム（BMS）コントローラーに深刻な脆弱性があることを公表しました。これらのデバイスは、工場出荷時のデフォルト設定で、ウェブベースのヒューマンマシンインターフェース（HMI）を認証なしで公開しています。

このアドバイザリは、ZSL-2026-5979として追跡され、2026年3月2日に公開されました。この脆弱性は、長期間にわたるベンダーとの限られたエンゲージメントの後、公開されました。

脆弱性の詳細

ホンダのIQ4xxシリーズコントローラーは、商業ビル、学校、産業施設で広く使用されており、暖房、換気、空調システム（HVAC）を管理し、エネルギー制御と最大192の入出力点をサポートします。これらのコントローラーは、イーサネットとTCP/IPを介して動作し、BACnet over IPをサポートし、統合ビル自動化ネットワークの中心的なノードとして機能します。

この脆弱性の核心は、コントローラーがデフォルトの状態をどのように処理するかにあります。ユーザーモジュールが設定されていない場合、セキュリティは完全に無効になり、システムはシステムユーザーのコンテキストで権限レベル100で動作し、HTTPインターフェースに到達できる誰でもフル読み取り/書き込みアクセスを許可します。

認証は、U.htmエンドポイントを介して手動でウェブユーザーを作成した後のみ有効になります。しかし、そのU.htmページは認証が設定される前にアクセス可能であり、リモート攻撃者がページを訪問し、攻撃者によって制御された資格情報を使用して管理者アカウントを作成し、正当なオペレーターがローカルおよびウェブベースの管理から即座にロックアウトされる完全な管理者の取り締まりを可能にします。

ゼロサイエンスラボは、隠された診断エンドポイント（/^ .htmまたは/%5E.htm）も特定し、未認証のユーザーが利用できる攻撃面をさらに拡大しました。

影響を受けるバージョン

• IQ4E, IQ412, IQ422: 4.36（ビルド4.3.7.9）
• IQ4NC, IQ41x: 4.34（ビルド4.3.5.14）
• IQ3, IQECO: 3.52（ビルド3.5.3.15）、3.50、3.44

対応と推奨事項

ホンダのPSIRTは、2026年1月末に応答し、IQ4コントローラーはインターネットへの直接的な公開を意図していないオンプレミス製品であると述べ、インストールと構成を技術的に資格のある人員に委ねることを推奨しました。しかし、この応答は不安全なデフォルト状態自体を直接解決していません。

CVEの割り当てやパッチが見送られたため、研究者はCERT/CC（VU#854120）を通じてケースを昇格させ、2月26日にCISAに通知しました。アドバイザリの公開日までにホンダからの応答はありませんでした。

アドバイザリとともに公開された証明概念スクリプト、trendhmi.pyは、未認証のHMIの相互作用を示しています。

緩和策の推奨事項

• すべての展開されたIQ4xxコントローラーでウェブユーザーをすぐに作成し、認証を有効にします。
• BMSコントローラーを専用のファイアウォールセグメントに隔離します。
• リモートアクセスパスウェイは、厳密に必要な場合を除いて無効にします。
• IQ4xxデバイスが到達可能なフラットネットワーク環境をすべて監査します。
• CISAとホンダのアドバイザリを監視し、公式パッチのリリースを待機します。

---

元記事: https://gbhackers.com/honeywell-controllers-widely-exposed/