Kritische Stack-basierte Pufferüberlauf-Schwachstelle in Johnson Controls iSTAR (CVE-2026-XXXX)
INCIBE-CERT warnt vor einer kritischen Schwachstelle in Johnson Controls iSTAR-Zugangskontrollsystemen, die Remote-Codeausführung ermöglicht. Sofortige Maßnahmen empfohlen.
Kritischer Stack-basierter Pufferüberlauf in Johnson Controls iSTAR-Zugangskontrollsystemen
Madrid, Spanien – 23. Januar 2026 – INCIBE-CERT hat eine Frühwarnung zu einer kritischen Stack-basierten Pufferüberlauf-Schwachstelle in Johnson Controls iSTAR-Zugangskontrollsystemen herausgegeben. Die unter CVE-2026-XXXX geführte Sicherheitslücke stellt ein erhebliches Risiko für Organisationen dar, die diese Geräte in ihrer physischen Sicherheitsinfrastruktur einsetzen.
Technische Details
Die Schwachstelle resultiert aus einer unzureichenden Eingabevalidierung in der iSTAR-Firmware. Angreifer können durch speziell manipulierte Netzwerkpakete einen Stack-basierten Pufferüberlauf auslösen. Eine erfolgreiche Ausnutzung könnte zu folgenden Szenarien führen:
- Remote Code Execution (RCE) mit erhöhten Privilegien
- Denial-of-Service (DoS)-Zustände
- Unautorisierter Zugriff auf sensible Gebäudesteuerungen
Obwohl konkrete technische Details bis zur Bereitstellung eines Hersteller-Patches noch begrenzt sind, wird die Schwachstelle aufgrund ihres hohen Schweregrads eingestuft, da sie ohne Authentifizierung ausgenutzt werden kann. Johnson Controls iSTAR-Systeme sind weit verbreitet in kritischen Infrastrukturbereichen wie Gesundheitswesen, Behörden und gewerblichen Einrichtungen.
Auswirkungsanalyse
Die Schwachstelle setzt Organisationen folgenden Risiken aus:
- Verletzungen der physischen Sicherheit durch kompromittierte Zugangskontrollsysteme
- Laterale Bewegung in verbundene OT/IT-Netzwerke
- Compliance-Verstöße gemäß Rahmenwerken wie NIST SP 800-82 und IEC 62443
INCIBE-CERT hat bisher keine aktive Ausnutzung in freier Wildbahn bestätigt, drängt jedoch aufgrund der kritischen Natur der Schwachstelle auf sofortige Gegenmaßnahmen.
Empfehlungen
Sicherheitsteams sollten folgende Schritte umsetzen:
- iSTAR-Geräte von nicht vertrauenswürdigen Netzwerken isolieren, bis Patches verfügbar sind
- Netzwerkverkehr auf anomale Aktivitäten überwachen, die auf iSTAR-Controller abzielen
- Hersteller-Updates sofort nach Veröffentlichung anwenden
- Zugriffsprotokolle auf Anzeichen unautorisierter Konfigurationsänderungen prüfen
- Netzwerke segmentieren, um die Exposition kritischer physischer Sicherheitssysteme zu begrenzen
Johnson Controls wurde informiert und wird voraussichtlich ein Firmware-Update veröffentlichen. INCIBE-CERT wird weitere Details bekanntgeben, sobald sie verfügbar sind. Weitere Informationen finden Sie in der ursprünglichen Sicherheitswarnung.
Dies ist eine sich entwickelnde Situation. Aktualisierungen folgen, sobald neue Informationen vorliegen.