Controlador IQ4x BMS de Honeywell carece de autenticación para función crítica

Un atacante con acceso a la red donde se encuentra el Honeywell IQ4x BMS Controller puede explotar esta vulnerabilidad para obtener acceso completo a la interfaz web del dispositivo sin necesidad de credenciales. Esto le permitiría modificar la configuración del sistema, acceder a datos sensibles relacionados con el control del edificio, e incluso tomar el control total del sistema de gestión de edificios. La falta de autenticación significa que cualquier persona con acceso a la red puede comprometer el sistema, lo que podría tener consecuencias graves para la seguridad y la operación del edificio. Esta vulnerabilidad es particularmente preocupante dado que los sistemas de gestión de edificios controlan aspectos críticos como la climatización, la seguridad y la iluminación, lo que podría afectar la seguridad de los ocupantes y la integridad de los activos.

Organizations that rely on Honeywell IQ4x BMS Controllers for building automation are at risk, particularly those with default configurations or those lacking network segmentation. Shared hosting environments where multiple customers share the same network infrastructure are also at increased risk, as a compromise of one customer could potentially lead to access to the IQ4x controller.

• windows / supply-chain: Monitor network traffic for connections to the IQ4x controller's HTTP interface on port 80 or 443. • linux / server: Use ss or netstat to identify connections to the controller's IP address.

ss -t http -l

• generic web: Use curl to attempt access to the HMI without authentication.

curl http://<IQ4x_IP_Address>

• database (mysql, redis, mongodb, postgresql): N/A - this vulnerability does not directly affect databases. • other: Review firewall logs for unauthorized access attempts to the IQ4x controller.

1. 2026-03-12Disclosure

   disclosure

1. Reservado2026-03-05
2. Publicada2026-03-12
3. Modificada2026-03-30
4. EPSS actualizado2026-03-23

La solución principal es actualizar el Honeywell IQ4x BMS Controller a una versión corregida que incluya controles de autenticación adecuados. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad temporales. Esto incluye segmentar la red para aislar el controlador IQ4x de otros sistemas, restringir el acceso a la interfaz web solo a direcciones IP autorizadas, y monitorear el tráfico de red en busca de actividad sospechosa. Además, se debe configurar un usuario web a través de U.htm para habilitar el módulo de usuario, lo que activará los controles de autenticación. Después de la actualización, confirme que la autenticación está habilitada y que solo los usuarios autorizados pueden acceder a la interfaz web.