CVE-2026-3611 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Honeywell IQ4x 存在**访问控制错误**。 📉 **后果**：默认未开启身份验证，导致**远程攻击者**可直接创建**管理员账户**，彻底接管系统。

🔍 **CWE**：CWE-306（缺少身份验证）。 📍 **缺陷点**：**默认配置**下未启用身份验证机制，安全基线缺失。

🏢 **厂商**：Honeywell（霍尼韦尔）。 📦 **产品**：IQ4x 系列楼宇自动化网络控制器（数据提及 IQ4E）。

👑 **权限**：获取**最高管理权限**。 📂 **数据**：可创建新账户，间接控制楼宇自动化系统，影响物理环境安全。

🚪 **门槛**：**极低**。 🔑 **条件**：无需认证（PR:N），无需用户交互（UI:N），网络可达即可（AV:N）。

💣 **Exp**：数据中 **PoCs 为空**。 🌍 **在野**：暂无公开在野利用报告，但鉴于 CVSS 满分风险，需警惕。

🔎 **自查**：扫描 IQ4x 设备。 📝 **特征**：检查是否处于**默认配置**，验证是否存在**无认证的管理接口**。

🛡️ **官方**：Honeywell 已发布安全公告（ICSA-26-069-03）。 📅 **时间**：2026-03-12 公布，建议联系厂商获取**补丁或配置指南**。

⚠️ **临时规避**： 1️⃣ **强制启用身份验证**。 2️⃣ **网络隔离**：将控制器置于**内网隔离区**，禁止公网访问。 3️⃣ **修改默认凭证**（若可访问）。

🔥 **优先级**：**紧急**。 📊 **CVSS**：**9.8**（Critical）。 💡 **建议**：立即整改默认配置，防止远程接管，保障楼宇物理安全。