Validación inadecuada en iSTAR de Johnson Controls
Fecha de publicación 05/12/2025
Identificador
INCIBE-2025-0688
Importancia
4 - Alta
Recursos Afectados
- iSTAR eX: todas las versiones anteriores a TLS 1.2;
- iSTAR Edge: todas las versiones anteriores a TLS 1.2;
- iSTAR Ultra LT (si está en TLS 1.2): todas las versiones anteriores a TLS 1.2;
- iSTAR Ultra (si está en TLS 1.2): todas las versiones anteriores a TLS 1.2;
- iSTAR Ultra SE (si está en TLS 1.2): todas las versiones anteriores a TLS 1.2.
Descripción
Johnson Controls ha informado sobre una vulnerabilidad de severidad alta que podría provocar que el producto no pueda restablecer la comunicación una vez que expire el certificado.
Solución
Johnson Controls recomienda las siguientes mitigaciones:
- Para los certificados basados en host que utilizan TLS 1.2, no se requiere actualización a versiones específicas del software/firmware de C•CURE o iSTAR. Sin embargo, es preciso descargar un nuevo certificado en todos los paneles iSTAR simultáneamente, lo que provoca un breve tiempo de inactividad del sistema
- Para cada clúster, convertir el modo de cifrado a TLS 1.3. Requiere firmware 6.9.0 o superior y C•CURE 9000 v2.90 SP3 o superior.
- Para los paneles heredados, actualizarlos al nuevo hardware G2. Recomendado para sistemas más pequeños debido a limitaciones de tiempo. Aplica principalmente a los paneles iSTAR eX, iSTAR Edge y iSTAR LT.
Detalle
CVE-2025-61736: en determinadas circunstancias, un iSTAR que utiliza el certificado predeterminado para conectarse al servidor C•CURE puede no poder restablecer la comunicación una vez que el certificado expire.
CVE
Listado de referencias
