Ver CSAF
1. Resumen ejecutivo
CVSS V4 8.7
ATENCIÓN: Explotable de forma remota/baja complejidad de ataque
Proveedor: Johnson controla
Equipo: Istar Ultra, Istar Ultra SE, Istar Ultra G2, Istar, Ultra G2 SE, Istar Edge G2
Vulnerabilidades: Inyección de comando del sistema operativo, verificación insuficiente de la autenticidad de datos, uso de credenciales predeterminadas, mecanismo de protección faltante para interfaz de hardware alternativa, almacenamiento inseguro de información confidencial
2. Evaluación de riesgos
La explotación exitosa de estas vulnerabilidades puede permitir a un atacante modificar el firmware y acceder al espacio protegido por el dispositivo.
3. Detalles técnicos
3.1 Productos afectados
Las siguientes versiones de Software House Istar Ultra y los controladores de puerta de borde se ven afectadas:
ISTAR ULTRA: VERSIONES 6.9.2.CU02 y Prior (CVE-2025-53695, CVE-2025-53696, CVE-2025-53697, CVE-2025-53700)
Istar Ultra SE: Versiones 6.9.2.CU02 y Prior (CVE-2025-53695, CVE-2025-53696, CVE-2025-53697, CVE-2025-53700)
ISTAR ULTRA G2: VERSIONES 6.9.2.CU02 y Prior (CVE-2025-53695, CVE-2025-53697, CVE-2025-53700)
ISTAR ULTRA G2 SE: Versiones 6.9.2.CU02 y Prior (CVE-2025-53695, CVE-2025-53697, CVE-2025-53700)
Istar Edge G2: versiones 6.9.2.Cu02 y Prior (CVE-2025-53695, CVE-2025-53697, CVE-2025-53700)
Istar Ultra: todas las versiones (CVE-2025-53698, CVE-2025-53699)
ISTAR ULTRA SE: Todas las versiones (CVE-2025-53698, CVE-2025-53699)
Istar Ultra G2: Todas las versiones (CVE-2025-53699)
ISTAR ULTRA G2 SE: Todas las versiones (CVE-2025-53699)
Istar Edge G2: Todas las versiones (CVE-2025-53699)
3.2 Descripción general de vulnerabilidad
3.2.1 Neutralización inadecuada de elementos especiales utilizados en un comando OS (‘inyección de comando OS’) CWE-78
Inyección de comando OS en Istar Ultra, Ultra SE, Ultra G2, Ultra G2 SE, Versiones EDGE G2 6.9.2 y la aplicación web anterior permite a un atacante autenticado obtener un acceso aún más privilegiado (usuario ‘root’) al firmware del dispositivo. Esto se soluciona en las versiones 6.9.3 y más nueva.
CVE-2025-53695 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 8.8; La cadena de vector CVSS es (CVSS: 3.1/AV: N/AC: L/PR: L/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-53695. Se ha calculado una puntuación base de 8.7; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: N/PR: L/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.2.2 Verificación insuficiente de la autenticidad de datos CWE-345
Las versiones Istar Ultra y Ultra SE 6.9.2 y Prior realizan una verificación de firmware en el arranque, sin embargo, la verificación no inspecciona ciertas partes del firmware. Estas piezas de firmware pueden contener código malicioso. Las versiones 6.9.3 y las nuevas reducen el riesgo de esta vulnerabilidad.
CVE-2025-53696 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 8.8; La cadena de vector CVSS es (CVSS: 3.1/AV: N/AC: L/PR: L/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-53696. Se ha calculado una puntuación base de 8.7; La cadena de vector CVSS es (CVSS: 4.0/AV: N/AC: L/AT: N/PR: L/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.2.3 Uso de credenciales predeterminadas CWE-1392
Hay una contraseña predeterminada de ‘root’ para Istar Ultra, Ultra SE, Ultra G2, Ultra G2 SE, Edge G2 Versiones 6.9.2 y anteriores que se pueden cambiar a través del shell de comando. Las versiones Istar Ultra y Ultra SE 6.9.3 y más nueva reducen el riesgo de esta vulnerabilidad. ISTAR ULTRA G2, ULTRA G2 SE y EDGE G2 Versión 6.9.3 y más nueva corrige esta vulnerabilidad.
CVE-2025-53697 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 6.7; La cadena de vector CVSS es (CVSS: 3.1/AV: L/AC: L/PR: H/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-53697. Se ha calculado una puntuación base de 8.4; La cadena de vector CVSS es (CVSS: 4.0/AV: L/AC: L/AT: N/PR: H/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.2.4 Mecanismo de protección faltante para la interfaz de hardware alternativa CWE-1299
Hay una consola serie RJ11 indocumentada en el ISTAR GCM (módulo de controlador general) que proporciona acceso a UBOOT. En las versiones de firmware más antiguas, un atacante con acceso físico a esta consola puede obtener acceso directo a un shell con privilegios ‘raíz’. En el firmware, versión 6.8.1 o más nueva, la consola está deshabilitada una vez que el sistema ha arrancado por completo, sin embargo, la consola puede volver a habilitarse debido a la falta de protección del gestor de arranque Uboot.
CVE-2025-53698 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 6.8; La cadena de vector CVSS es (CVSS: 3.1/AV: P/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-53698. Se ha calculado una puntuación base de 7.0; La cadena de vector CVSS es (CVSS: 4.0/AV: P/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.2.5 Mecanismo de protección faltante para la interfaz de hardware alternativa CWE-1299
Los puertos USB en la placa GCM generalmente se usan para conectar una placa ACM (módulo de control de acceso). El ACM es lo que lee los datos de la insignia, señales de ‘Push to Salir’, señales de alarma contra incendios y opera relés para desbloquear las puertas. El acceso físico a los puertos USB GCM también permite que los dispositivos USB, como los teclados, se conecten y el sistema tratará la entrada desde un teclado conectado como si se escribiran en una consola local.
CVE-2025-53699 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 6.8; La cadena de vector CVSS es (CVSS: 3.1/AV: P/AC: L/PR: N/UI: N/S: U/C: H/I: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-53699. Se ha calculado una puntuación base de 7.0; La cadena de vector CVSS es (CVSS: 4.0/AV: P/AC: L/AT: N/PR: N/UI: N/VC: H/VI: H/VA: H/SC: N/SI: N/SA: N).
3.2.6 Almacenamiento inseguro de información confidencial CWE-922
La clave de firma de software para los productos TYCO NVR se incluye en el firmware de Istar Ultra, Ultra SE, Ultra G2, Ultra G2 SE, Edge G2 Versiones 6.9.2 y anteriores. Las versiones Istar Ultra y Ultra SE 6.9.3 y más nueva reducen el riesgo de esta vulnerabilidad. ISTAR ULTRA G2, ULTRA G2 SE y EDGE G2 Versión 6.9.3 y más nueva corrige esta vulnerabilidad.
CVE-2025-53700 ha sido asignado a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 8.8; La cadena de vector CVSS es (CVSS: 3.1/AV: L/PR: L/UI: C: H/I: H/A: H/A: H).
También se ha calculado una puntuación CVSS V4 paraCVE-2025-53700. Se ha calculado una puntuación base de 6.3; La cadena de vector CVSS es (CVSS: 4.0/AV: L/AC: L/AT: N/PR: L/UI: N/VC: N/VI: N/VA: N/SC: H/SI: H/SA: H: H:).
3.3 Antecedentes
Sectores de infraestructura crítica: Fabricación crítica
Países/áreas desplegadas: Mundial
Ubicación de la sede de la empresa: Irlanda
3.4 investigador
Reid Wightman de Dragos informó estas vulnerabilidades a los controles de Johnson.
4. Mitigaciones
Johnson Controls puso a cabo la versión 6.9.3 disponible en 2024 para arreglar CVE-2025-53695 y reducir el riesgo de explotación para CVE-2025-53696, CVE-2025-53697 y CVE-2025-53700.
Según Johnson Controls, el Istar Ultra es un dispositivo más antiguo que tiene una fecha de servicio planificada dentro de un año a partir de esta publicación. Johnson Controls recomienda que los usuarios consideren actualizar a una unidad de control más nueva. El manual de instalación de hardware para ISTAR ULTRA requiere que todas las unidades de control se instalen en un área de acceso restringido y protegido para reducir el riesgo de manipulación física.
Para obtener instrucciones de mitigación más detalladas, ver Johnson controla el aviso de seguridad del producto.
Para obtener asistencia e información adicional, comuníquese con Johnson controla el centro de confianza.
Dragos recomienda que los usuarios finales coloquen las siguientes restricciones de red en torno a los controladores ISTAR, independientemente del modelo o la versión de firmware:
El modo PRO en los controladores de la puerta ultra ultra e istar se debe deshabilitar. Use «Modo Ultra».
CISA recomienda que los usuarios tomen medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades, como:
Minimizar la exposición de la red para todos los dispositivos y/o sistemas del sistema de control, asegurando que sean No es accesible desde Internet.
Localice las redes de sistemas de control y los dispositivos remotos detrás de los firewalls y aislarlos de las redes comerciales.
Cuando se requiere acceso remoto, use métodos más seguros, como las redes privadas virtuales (VPN), reconocer las VPN puede tener vulnerabilidades y debe actualizarse a la versión más actualizada disponible. También reconocer que VPN es tan segura como los dispositivos conectados.
CISA recuerda a las organizaciones que realicen un análisis de impacto adecuado y una evaluación de riesgos antes de implementar medidas defensivas.
CISA también proporciona una sección para Control Sistemas Seguridad Prácticas recomendadas en la página web de ICS en cisa.gov/ics. Varios productos de CISA que detallan las mejores prácticas de defensa cibernética están disponibles para leer y descargar, incluida Mejora de los sistemas de control industrial Ciberseguridad con estrategias de defensa en profundidad.
CISA alienta a las organizaciones a implementar estrategias recomendadas de ciberseguridad para Defensa proactiva de los activos del ICS.
La orientación de mitigación adicional y las prácticas recomendadas están disponibles públicamente en la página web de ICS en cisa.gov/ics En el documento de información técnica, ICS-TIP-12-146-01B-Detección de intrusión cibernética dirigida a estrategias.
Las organizaciones que observan sospecha de actividad maliciosa deben seguir procedimientos internos establecidos e informes de informes a CISA para el seguimiento y la correlación contra otros incidentes.
No se ha informado de explotación pública conocida específicamente estas vulnerabilidades a CISA en este momento.
5. Historial de actualización
12 de agosto de 2025: publicación inicial