CVE-2024-51554 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ABB ASPECT 系统存在**默认凭据**漏洞。 💥 **后果**：攻击者可利用弱口令直接入侵，导致**机密性高损**、完整性及可用性受损。

🔍 **CWE-193**：错误计算。 📍 **缺陷点**：Linux 环境下的 ASPECT 组件使用了**默认凭据**，未强制修改初始密码。

🏢 **厂商**：ABB（瑞士）。 📦 **产品**：ASPECT-Enterprise（建筑能源管理和控制解决方案）。

🔓 **权限**：需本地权限（PR:L）即可利用。 📊 **数据**：可获取**高敏感度**信息（C:H），并可能篡改配置或影响系统运行。

⚠️ **门槛**：中等。 🔑 **条件**：需要**本地认证**（PR:L），但攻击复杂度低（AC:L），无需用户交互（UI:N）。

🚫 **Exp**：当前数据中**无现成 PoC**。 🌍 **在野**：暂无公开在野利用报告。

🔎 **自查**：检查 ASPECT 服务是否运行在 Linux 上。 🔑 **特征**：确认是否仍使用**出厂默认账号密码**，立即排查弱口令。

🛡️ **官方**：参考 ABB 官方文档（9AKK108469A7497）。 📝 **缓解**：通常需更新软件或强制修改默认凭据（具体补丁状态需查阅官方链接）。

🛑 **临时规避**： 1️⃣ **立即修改**所有默认账户密码。 2️⃣ 限制对 ASPECT 服务的**本地访问权限**。 3️⃣ 启用强密码策略。

🔥 **优先级**：**高**。 📅 **CVSS 3.1**：分值较高，且涉及关键基础设施（建筑能源管理），建议**立即整改**默认凭据风险。