约翰逊控制iSTAR存储栈缓冲区溢出严重漏洞（CVE-2026-XXXX）

约翰逊控制iSTAR门禁控制器存储栈缓冲区溢出严重漏洞

西班牙马德里 – 2026年1月23日 – 西班牙国家网络安全研究所计算机紧急响应团队（INCIBE-CERT）发布紧急预警，称约翰逊控制（Johnson Controls）的iSTAR门禁控制系统存在严重的存储栈缓冲区溢出（stack-based buffer overflow）漏洞。该漏洞编号为CVE-2026-XXXX，对依赖这些设备进行物理安全防护的组织构成重大风险。

技术细节

该漏洞源于iSTAR固件中对输入数据的不当验证，攻击者可通过精心构造的网络数据包触发存储栈缓冲区溢出。成功利用后可能导致：

• 远程代码执行（RCE），获取提升的系统权限
• **拒绝服务（DoS）**攻击，造成系统崩溃
• 未经授权访问敏感设施控制系统

由于漏洞可在无需身份验证的情况下被利用，目前被归类为高危严重级别。约翰逊控制iSTAR系统广泛部署于关键基础设施领域，包括医疗、政府及商业设施。

影响分析

该漏洞可能导致组织面临以下风险：

• 通过被攻陷的门禁系统实施物理安全入侵
• 攻击者在OT/IT网络中横向移动，扩大攻击范围
• 违反NIST SP 800-82及IEC 62443等合规框架要求

INCIBE-CERT尚未确认漏洞是否已被实际利用，但基于其严重性，建议组织立即采取缓解措施。

建议措施

安全团队应立即执行以下操作：

1. 隔离iSTAR设备：在供应商发布补丁前，将其与不受信任的网络隔离
2. 监控网络流量：检测针对iSTAR控制器的异常活动
3. 及时应用补丁：供应商发布固件更新后立即安装
4. 审查访问日志：检查是否存在未经授权的配置变更
5. 网络分段：限制关键物理安全系统的暴露面

约翰逊控制已收到通知，并计划发布固件更新。INCIBE-CERT将在后续提供更多详情。更多信息，请参阅原始安全公告。

本报道持续更新，相关信息将及时补充。