A fost identificată o vulnerabilitate critică în software-ul Johnson Controls’ Software House iStar Pro Door Controller și ICU. Vulnerabilitatea, care se datorează lipsei autentificării pentru o funcție critică, ar putea permite atacatorilor să efectueze atacuri de tip machine-in-the-middle. Acest lucru le-ar putea permite să injecteze comenzi pentru a modifica configurațiile sau să inițieze comenzi manuale de control al ușilor. Sistemele afectate includ toate versiunile de controler de ușă Software House iStar Pro și ICU versiunea 6.9.2.25888 și versiunile anterioare. Impactul potențial include modificări neautorizate ale setărilor și configurațiilor de control al ușilor, ceea ce reprezintă riscuri de securitate semnificative. Utilizatorii sunt sfătuiți să urmeze pașii de atenuare furnizați de Johnson Controls, inclusiv configurarea unui comutator dip fizic pentru a bloca comunicațiile cu instrumentul ICU, deoarece nu vor mai fi furnizate alte actualizări de firmware pentru controlerul iStar Pro.
Produse
Software House iStar Pro Door Controller
Versiune: Toate versiunile
Furnizor: Johnson Controls Inc.
CVEs: CVE-2024-32752
ICU
Versiune: 6.9.2.25888 și anterioare
Furnizor: Johnson Controls Inc.
CVEs: CVE-2024-32752
Vulnerabilități
Lipsește autentificarea pentru funcția critică
CVE: CVE-2024-32752
Scoring CVSSv3: 9.1 - Critic
Scoring CVSSv4: 8.8 - ridicat
CWE: CWE-306
Descriere: În anumite circumstanțe, comunicarea dintre instrumentul ICU și un controler de ușă iStar Pro este susceptibilă la atacuri de tip “machine-in-the-middle”, care ar putea afecta controlul și configurarea ușii.
Impact: Un atacator ar putea efectua atacuri de tip machine-in-the-middle pentru a injecta comenzi, a modifica configurații sau a iniția comenzi manuale de control al ușii.
Mitigare: Controlerul iSTAR Pro are un comutator fizic de tip dip situat pe placa GCM, etichetat S4, care poate fi configurat pentru a bloca comunicațiile cu instrumentul ICU. Utilizatorii ar trebui să consulte Ghidul de instalare și configurare iSTAR Pro pentru mai multe detalii privind modul de setare a comutatorului dip pentru a atenua această vulnerabilitate.
Concluzie
Descoperirea unei vulnerabilități critice în software-ul iStar Pro Door Controller și ICU al Johnson Controls’ Software House iStar Pro subliniază importanța unor măsuri solide de securitate cibernetică în sistemele de automatizare a clădirilor. Vulnerabilitatea, care permite atacuri de tip machine-in-the-middle, prezintă riscuri semnificative pentru controlul și configurarea ușilor. Având în vedere că controlerul iStar Pro a ajuns la sfârșitul perioadei de suport, utilizatorii trebuie să se bazeze pe măsuri de atenuare fizice, cum ar fi configurarea comutatorului dip pentru a bloca comunicațiile ICU. Organizațiile sunt îndemnate să urmeze practicile recomandate în materie de securitate cibernetică, să efectueze evaluări adecvate ale riscurilor și să raporteze orice activități suspecte către CISA. Menținerea informată și proactivă este crucială pentru protejarea infrastructurilor critice de potențiale amenințări cibernetice.