Múltiples vulnerabilidades en productos de Johnson Controls
Modelos de controladores de puertas:
- iSTAR Ultra;
- iSTAR Ultra SE;
- iSTAR Ultra G2;
- iSTAR Ultra G2 SE;
- iSTAR Edge G2.
Reid Wightman de Dragos ha informado de 6 vulnerabilidades, 5 de severidad alta y 1 media que, en caso de ser explotadas, podrían permitir a un atacante modificar el firmware y acceder al espacio protegido por el dispositivo.
Actualizar los productos a la versión 6.9.3 o superior. Adicionalmente, se recomienda desactivar el servidor web en iSTAR tras la instalación inicial, tal como se indica en la guía de securización (hardening).
Para las vulnerabilidades CVE-2025-53698 y CVE-2025-53699, asegurarse de que el acceso físico al controlador de puertas iSTAR Ultra e iSTAR Ultra SE está limitado al personal autorizado. Los controladores de puertas deben instalarse en un recinto cerrado con un interruptor físico antisabotaje, de acuerdo con las normas industriales y tal y como se indica en el manual de instalación y la guía de securización.
Para cada vulnerabilidad de severidad alta se indica su identificador y su tipo:
- CVE-2025-53695: Inyección de comandos de SO;
- CVE-2025-53696: Verificación insuficiente de la autenticidad de los datos;
- CVE-2025-53697: Uso de credenciales por defecto;
- CVE-2025-53698 y CVE-2025-53699: Falta de mecanismos de autenticación para una interfaz hardware alternativa.
La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-53700 y su detalle puede consultarse en el enlace de las referencias.
