Controlador de puerta iStar Pro de Johnson Controls Software House
1. RESUMEN EJECUTIVO
- CVSS v3 9.1
- ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
- Proveedor: Johnson Controls Inc.
- Equipo: Software House iStar Pro Controlador de puerta, UCI
- Vulnerabilidad: Falta autenticación para función crítica
2. EVALUACIÓN DE RIESGOS
La explotación exitosa de esta vulnerabilidad puede permitir a un atacante realizar un ataque de máquina intermedia para inyectar comandos que cambien la configuración o inicien comandos de control manual de puertas.
3. DETALLES TÉCNICOS
3.1 PRODUCTOS AFECTADOS
Johnson Controls informa que los siguientes productos se ven afectados:
- Controlador de puerta Software House iStar Pro: todas las versiones
- UCI: versión 6.9.2.25888 y anteriores
3.2 Descripción general de la vulnerabilidad
3.2.1 Autenticación faltante para función crítica CWE-306
En determinadas circunstancias, la comunicación entre la herramienta ICU y un controlador de puerta iStar Pro es susceptible a ataques de máquina intermedia que podrían afectar el control y la configuración de la puerta.
CVE-2024-32752 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 9,1; la cadena del vector CVSS es (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H).
También se ha calculado una puntuación CVSS v4 paraCVE-2024-32752. Se ha calculado una puntuación base de 8,8; la cadena del vector CVSS es (CVSS4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N).
3.3 ANTECEDENTES
- SECTORES DE INFRAESTRUCTURA CRÍTICA: Fabricación crítica
- PAÍSES/ÁREAS DESPLEGADAS: Mundial
- UBICACIÓN DE LA SEDE DE LA EMPRESA: Irlanda
3.4 INVESTIGADOR
Reid Wightman de Dragos informó esta vulnerabilidad a Johnson Controls, Inc.
4. MITIGACIONES
El controlador iSTAR Pro ha llegado a su fin de período de soporte y no se proporcionarán más actualizaciones de firmware. Sin embargo, el iSTAR Pro tiene un interruptor DIP físico ubicado en su placa GCM, etiquetado como S4, que se puede configurar para bloquear las comunicaciones con la herramienta ICU. Consulte la Guía de instalación y configuración de iSTAR Pro para obtener más detalles sobre cómo configurar el interruptor DIP para mitigar esta vulnerabilidad.
Para obtener instrucciones de mitigación más detalladas, consulte Aviso de seguridad de productos de Johnson Controls JCI-PSA-2024-06 v1
En línea con las recomendaciones de CISA, Johnson Controls recomienda tomar medidas para minimizar los riesgos para todos los sistemas de automatización de edificios.
CISA proporciona una sección para las prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en us-cert.gov. Varias prácticas recomendadas están disponibles para lectura y descarga, incluida la mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
Más avisos de seguridad de ICS y guías de seguridad de productos se encuentran en Sitio web de seguridad de productos de Johnson Controls
Las organizaciones que observen cualquier sospecha de actividad maliciosa deben seguir sus procedimientos internos establecidos e informar sus hallazgos a CISA para su seguimiento y correlación con otros incidentes.
CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. CISA recuerda a las organizaciones que realicen un análisis de impacto y una evaluación de riesgos adecuados antes de implementar medidas defensivas.
CISA también proporciona una sección para prácticas recomendadas de seguridad de los sistemas de control en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para lectura y descarga, incluidos Mejora de la ciberseguridad de los sistemas de control industrial con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias de ciberseguridad recomendadas para defensa proactiva de los activos de ICS.
Orientaciones de mitigación adicionales y prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics en el documento de información técnica, ICS-TIP-12-146-01B–Estrategias dirigidas de mitigación y detección de intrusiones cibernéticas.
Las organizaciones que observen sospechas de actividad maliciosa deben seguir los procedimientos internos establecidos e informar los hallazgos a CISA para su seguimiento y correlación con otros incidentes.
Hasta el momento no se ha informado a CISA de ninguna explotación pública conocida dirigida específicamente a esta vulnerabilidad.
5. ACTUALIZAR HISTORIAL
- 6 de junio de 2024: Publicación inicial