繼上周西門子修復智能電表 7KT PAC1200 高危漏洞后，安全研究人員再次發現西門子的 BACnet 自動化控制器存在兩處安全漏洞，允許攻擊者在線訪問集成 Web 服務器（80/tcp 和 443/tcp）并執行管理操作。這兩處漏洞普遍影響了西門子 BACnet 自動化控制器 APOGEE PXC 和 TALON TC 3.5 之前的所有固件版本。目前西門子已發布固件更新。

受影響設備普遍應用于商業設施，以便控制取暖、通風和空調（HVAC）設備。目前，西門子已修復漏洞并發布固件更新。對此，安全研究人員強烈建議用戶將其設備更新至 3.5 版本，并通過適當的防御機制保護 Web 服務器的網絡訪問，以便自身 IT 設備免遭黑客攻擊。

第一處漏洞（CVE-2017-9946）：允許未經身份驗證的攻擊者在線訪問集成 Web 服務器（80/tcp 和 443/tcp），從而通過受損設備下載敏感數據。目前，該漏洞危險等級為，且 CVSS 基礎評分為 7.5。

第二處漏洞（CVE-2017-9947）：允許攻擊者在線訪問集成 Web 服務器（80/tcp 和 443/tcp）后遠程竊取受影響設備的文件系統結構信息。目前，該漏洞 CVSS 基礎評分為 5.3。