霍尼韦尔关键基础设施闭路电视监控系统存在身份验证绕过漏洞

美国网络安全和基础设施安全局 (CISA) 警告称，多款霍尼韦尔闭路电视产品存在严重漏洞，可导致未经授权的访问或账户劫持。

该安全问题由研究员 Souvik Kanda 发现，编号为 CVE-2026-1670，被归类为“关键功能缺少身份验证”，严重性评分为 9.8。

该漏洞允许未经身份验证的攻击者更改与设备帐户关联的恢复电子邮件地址，从而实现帐户接管和对摄像头视频流的未经授权访问。

CISA 表示： ”受影响的产品存在未经身份验证的 API 端点暴露漏洞，攻击者可能借此远程更改’忘记密码‘恢复电子邮件地址。“

根据安全公告，CVE-2026-1670 影响以下型号：

• I-HIB2PI-UL 2MP IP 6.1.22.1216
• SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
• PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
• 25M IPC WDR_2MP_32M_PTZ_v2.0

霍尼韦尔是全球领先的安防和视频监控设备供应商，其产品涵盖各种闭路电视摄像机型号及相关产品，广泛应用于全球商业、工业和关键基础设施领域。

该公司提供许多符合 NDAA 标准的摄像机，适合在美国政府机构和联邦承包商中部署。

CISA 咨询文件中提到的特定型号系列是中端视频监控产品，适用于中小型企业、办公室和仓库，其中一些可能是关键设施的一部分。

CISA 表示，截至 2 月 17 日，尚未有报告显示有人专门针对此漏洞进行公开利用。

尽管如此，该机构建议尽量减少控制系统设备的网络暴露，将其隔离在防火墙后，并在需要远程连接时使用安全的远程访问方法，例如更新的 VPN 解决方案。

霍尼韦尔尚未发布关于 CVE-2026-1670 的公告，但建议用户联系该公司的支持团队以获取补丁指导。