A Johnson Controls anunciou recentemente patches para uma vulnerabilidade crítica encontrada por um pesquisador externo em alguns de seus produtos de refrigeração industrial.
De acordo com comunicados publicados pela Controles Johnson e a agência de segurança cibernética dos EUA CISAa falha, rastreada como CVE-2023-4804, pode “permitir que um usuário não autorizado acesse recursos de depuração que foram expostos acidentalmente”.
Os produtos impactados incluem Compressor Frick Quantum HD Unity, AcuAir, Condensador/Vaso, Evaporador, Sala de Máquinas e painéis de controle de interface.
Os produtos de refrigeração Frick são anunciados pelo fornecedor para a indústria de alimentos e bebidas. De acordo com a CISA, os produtos impactados são utilizados em todo o mundo, inclusive no setor industrial crítico.
A Johnson Controls lançou atualizações para cada um dos painéis de controle afetados para corrigir a vulnerabilidade, que recebeu uma pontuação CVSS de 10.
O pesquisador que relatou a falha à Johnson Controls disse Semana de Segurança que a vulnerabilidade poderia permitir que um invasor assumisse o controle administrativo total de um sistema Quantum HD.
Não está claro exatamente o que um invasor poderia conseguir explorando este produto específico em um ambiente do mundo real, mas, em geral, os ataques cibernéticos direcionados a sistemas de refrigeração poderiam ser usados para causar perturbações e danos financeiros. Por exemplo, ao alterar as configurações de temperatura, um invasor pode reduzir a vida útil ou a qualidade dos produtos armazenados.
No caso dos produtos Quantum HD, o pesquisador disse que há pelo menos alguns sistemas localizados na América do Norte que estão expostos à Internet e podem estar vulneráveis a ataques.
Segundo o pesquisador, a Johnson Controls levou cerca de seis meses para lançar os patches.
“[Johnson Controls International] foi um prazer trabalhar com ele. Em primeiro lugar, eles têm um processo de divulgação responsável e uma equipe de segurança do produto. Isso é mais do que muitos fornecedores de ICS/SCADA podem afirmar. A equipe deles foi muito receptiva”, observou o pesquisador. “Demorou mais do que o inicialmente previsto para lançar o patch, porque à medida que continuavam a investigar, descobriram que o impacto era maior do que o inicialmente previsto e queriam consertar todas as plataformas ao mesmo tempo.”
O pesquisador também fez uma observação interessante sobre como a vulnerabilidade pode ter acabado em um produto da Johnson Controls.
“Parece que este era um problema mais profundo da ‘cadeia de fornecimento de software’, já que o fornecedor original era Frick, que foi comprado por York, que se tornou parte da Johnson Controls”, disse o pesquisador. “Isso fala da questão mais ampla da devida diligência durante fusões e aquisições.”
“Fiquei bastante surpreso por ser o primeiro a relatar o problema, dada a baixa complexidade do ataque. Isso me leva a acreditar que eles não tiveram visibilidade porque estavam dois níveis de profundidade no ruído das aquisições”, acrescentou o especialista.