VOLVER A NOTICIAS
Avisos CERT

Vulnerabilidad Crítica de Desbordamiento de Búfer Basado en Pila en Johnson Controls iSTAR (CVE-2026-XXXX)

2 min de lecturaFuente: INCIBE-CERT

INCIBE-CERT alerta sobre una vulnerabilidad crítica en sistemas iSTAR de Johnson Controls que permite ejecución remota de código. Descubre cómo proteger tu infraestructura.

Vulnerabilidad Crítica de Desbordamiento de Búfer Basado en Pila en Controladores de Acceso Johnson Controls iSTAR

Madrid, España – 23 de enero de 2026 – INCIBE-CERT ha emitido una alerta temprana sobre una vulnerabilidad crítica de desbordamiento de búfer basado en pila en los sistemas de control de acceso Johnson Controls iSTAR. La falla, registrada bajo el identificador CVE-2026-XXXX, representa un riesgo significativo para las organizaciones que dependen de estos dispositivos para su infraestructura de seguridad física.

Detalles Técnicos

La vulnerabilidad surge debido a una validación incorrecta de entradas en el firmware de iSTAR, lo que permite a los atacantes desencadenar un desbordamiento de búfer basado en pila mediante paquetes de red especialmente diseñados. Una explotación exitosa podría conducir a:

  • Ejecución remota de código (RCE) con privilegios elevados
  • Condiciones de denegación de servicio (DoS)
  • Acceso no autorizado a controles sensibles de instalaciones

Aunque los detalles técnicos específicos siguen siendo limitados a la espera de un parche del fabricante, la vulnerabilidad ha sido clasificada como de gravedad alta debido a su potencial de explotación sin necesidad de autenticación. Los sistemas Johnson Controls iSTAR están ampliamente desplegados en sectores de infraestructura crítica, incluyendo salud, gobierno e instalaciones comerciales.

Análisis de Impacto

La vulnerabilidad expone a las organizaciones a:

  • Brechas de seguridad física a través de sistemas de control de acceso comprometidos
  • Movimiento lateral hacia redes OT/IT conectadas
  • Incumplimiento de normativas bajo marcos como NIST SP 800-82 e IEC 62443

INCIBE-CERT no ha confirmado explotación activa en la naturaleza, pero insta a aplicar mitigaciones inmediatas debido a la naturaleza crítica de la falla.

Recomendaciones

Los equipos de seguridad deben:

  1. Aislar los dispositivos iSTAR de redes no confiables hasta que estén disponibles los parches
  2. Monitorear el tráfico de red en busca de actividad anómala dirigida a los controladores iSTAR
  3. Aplicar las actualizaciones proporcionadas por el fabricante inmediatamente tras su lanzamiento
  4. Revisar los registros de acceso en busca de signos de cambios de configuración no autorizados
  5. Segmentar las redes para limitar la exposición de los sistemas críticos de seguridad física

Johnson Controls ha sido notificado y se espera que lance una actualización de firmware en breve. INCIBE-CERT proporcionará más detalles a medida que estén disponibles. Para más información, consulte el aviso original.

Esta es una noticia en desarrollo. Se proporcionarán actualizaciones a medida que surja nueva información.

Compartir

TwitterLinkedIn