Avizul evidențiază o vulnerabilitate critică în camerele Johnson Controls Illustra Pro Gen 4, în special versiunile SS016.05.03.01.0010 și anterioare. Vulnerabilitatea se datorează unei dependențe de o componentă terță vulnerabilă, JQuery versiuni anterioare 3.5.0. Exploatarea cu succes ar putea afecta confidențialitatea și integritatea dispozitivului. Vulnerabilitatea a fost atribuită CVE-2024-32753 cu un scor de bază CVSS v4 de 7,0, indicând un nivel ridicat de severitate.
Produse
Camera Illustra Pro Gen 4
Versiune: SS016.05.03.01.0010 și anterioare
Vendor: Johnson Controls, Inc.
CVEs: CVE-2024-32753
Vulnerabilități
Dependență de componente vulnerabile de la terțe părți
CVE: CVE-2024-32753
Scor CVSSv3: 6.9 - Mediu
Scor CVSSv4: 7.0 - ridicat
CWE: CWE-1395
Descriere: Camera Illustra Pro Gen 4 este susceptibilă la vulnerabilități cunoscute asociate cu versiunile JQuery anterioare versiunii 3.5.0, o componentă terță.
Impact: Exploatarea cu succes a acestei vulnerabilități ar putea afecta confidențialitatea și integritatea dispozitivului.
Mitigare: Johnson Controls recomandă utilizatorilor să actualizeze camera Illustra Pro Gen 4 la versiunea SS016.24.03.00.0007. Pentru instrucțiuni de atenuare mai detaliate, consultați Johnson Controls Product Security Advisory JCI-PSA-2024-05 v1. În plus, CISA recomandă utilizatorilor să ia măsuri defensive pentru a minimiza riscul de exploatare, să efectueze o analiză adecvată a impactului și o evaluare a riscurilor și să pună în aplicare strategiile de securitate cibernetică recomandate pentru apărarea proactivă a activelor ICS.
Concluzie
Johnson Controls a recunoscut vulnerabilitatea și recomandă utilizatorilor să își actualizeze camerele Illustra Pro Gen 4 la versiunea SS016.24.03.00.0007 pentru a reduce riscul. De asemenea, compania subliniază importanța respectării măsurilor defensive și a celor mai bune practici ale CISA pentru securizarea sistemelor de automatizare a clădirilor. Deși nu a fost raportată nicio exploatare publică a acestei vulnerabilități, gravitatea ridicată și impactul potențial fac crucial ca utilizatorii afectați să acționeze prompt. Organizațiile sunt sfătuite să efectueze o analiză adecvată a impactului și o evaluare a riscurilor înainte de implementarea oricăror măsuri defensive. Pentru detalii suplimentare, utilizatorii ar trebui să consulte avizul de securitate a produselor Johnson Controls JCI-PSA-2024-05 v1 și strategiile de securitate cibernetică recomandate de CISA.
Referințe
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
