CVE-2025-3699 — 神龙十问 AI 深度分析摘要

🚨 **本质**：三菱电机空调集中控制器存在**访问控制错误**。 💥 **后果**：攻击者可**非法控制**空调系统，或导致**敏感信息泄露**。

🔍 **CWE-306**：缺少关键功能的**身份验证**机制。 📉 **缺陷点**：未校验操作者权限，导致未授权访问。

🏢 **厂商**：Mitsubishi Electric（三菱电机）。 📦 **受影响产品**：G-50系列、GB-50系列、GB-24A、G-150AD等。 📅 **版本**：多为 **3.37及之前** 或 **9.12及之前** 版本。

🔓 **权限**：无需认证即可执行控制指令。 📂 **数据**：可读取系统配置或运行状态信息。 🌡️ **控制**：远程操控空调开关、温度等参数。

📉 **门槛极低**。 🔑 **认证**：**PR:N**（无需权限）。 🌐 **网络**：**AV:N**（网络远程利用）。 👤 **交互**：**UI:N**（无需用户交互）。

🚫 **无现成Exp**：数据中 `pocs` 为空。 ⚠️ **在野利用**：暂无公开在野利用报告，但CVSS评分极高，风险大。

🔍 **自查特征**：检查设备是否属于受影响型号（如G-50）。 📊 **版本核对**：确认固件版本是否 ≤ 3.37 或 ≤ 9.12。 🛡️ **扫描**：使用ICS资产扫描工具识别未授权访问接口。

🛡️ **官方已发布**：三菱电机PSIRT已发布安全公告（2025-004）。 📄 **资源**：参考 JVN 和 CISA 的 ICS 警报。 🔧 **建议**：立即联系厂商获取**固件升级补丁**。

🚧 **临时规避**： 1️⃣ **网络隔离**：将控制器置于**内网隔离区**，禁止公网访问。 2️⃣ **访问控制**：在防火墙/ACL层面限制源IP。 3️⃣ **监控**：加强异常操作日志审计。

🔥 **紧急程度：高**。 📈 **CVSS**：**9.8**（Critical）。 💡 **建议**：立即评估资产，优先对**关键基础设施**中的空调系统进行隔离或升级。