Johnson Controls publicou um aviso de segurança coordenado com a CISA sobre uma falha de SQL injection crítica que afeta múltiplos produtos de controle industrial. A vulnerabilidade recebeu o identificador CVE-2025-26385 e tem impacto máximo conforme a métrica CVSS v3.
Descoberta e escopo
O problema, tratado no aviso JCI-PSA-2026-02 e republicado pela CISA como ICSA-26-027-04, foi divulgado com data de referência do advisory em 27 de janeiro de 2026. Segundo a publicação, a falha decorre de neutralização inadequada de elementos especiais usados em operações que permitem injeção de comandos SQL, possibilitando que um atacante remoto execute comandos SQL arbitrários sem necessidade de autenticação.
Produtos afetados
- Application and Data Server (ADS) — CVE-2025-26385
- Extended Application and Data Server (ADX) — CVE-2025-26385
- LCS8500 — CVE-2025-26385
- NAE8500 — CVE-2025-26385
- System Configuration Tool (SCT) — CVE-2025-26385
- Controller Configuration Tool (CCT) — CVE-2025-26385
Vetor e evidências
Conforme o advisory, a exploração ocorre por injeção SQL remota sem autenticação, o que, em casos de sucesso, permite a alteração, exclusão ou exfiltração de dados presentes nos sistemas afetados. A nota técnica associa à vulnerabilidade uma pontuação CVSS v3 de 10.0, o valor máximo, o que sinaliza risco extremo para infraestruturas que utilizam esses componentes.
Impacto e alcance
Johnson Controls é utilizada em múltiplos setores de infraestrutura crítica — a publicação cita presença em edifícios comerciais, manufatura crítica, geração de energia, operações governamentais e sistemas de transporte — e a empresa tem presença global, com sede na Irlanda. Por isso, a falha tem potencial de impacto amplo quando presente em instalações críticas.
O que se sabe sobre exploração pública
A CISA, na versão republicada do advisory (ICSA-26-027-04), informa que não há documentação de exploração pública conhecida até a data do advisory, 27 de janeiro de 2026. Ainda assim, a combinação de gravidade máxima e ampla base instalada levou à divulgação coordenada entre Johnson Controls e a agência estadunidense.
Recomendações divulgadas
A publicação traz medidas defensivas alinhadas às recomendações da CISA. Entre as ações indicadas estão:
- Isolar redes de sistemas de controle (control system networks) de exposição direta à Internet e posicioná‑las atrás de firewalls, separadas da infraestrutura de TI corporativa.
- Adotar segmentação de rede e, quando aplicável, estratégias de air‑gapping para sistemas legados que não possam receber patches imediatamente.
- Quando for necessário acesso remoto, utilizar VPNs atualizadas e seguras, reconhecendo que a segurança da VPN depende da integridade dos dispositivos conectados.
Orientações operacionais
O advisory enfatiza que organizações devem priorizar análise de impacto e avaliação de riscos antes de aplicar contramedidas que possam interromper operações. Além disso, equipes que identificarem atividade suspeita são orientadas a reportar os eventos à CISA para correlação com outros incidentes e melhor rastreamento de ameaças.
Observações finais
O caráter crítico da CVE-2025-26385 e a lista de produtos afetados tornam a questão relevante para equipes responsáveis por ambientes industriais e de infraestrutura crítica. A coordenação entre Johnson Controls e CISA fornece um canal oficial para informações e mitigação; entretanto, o advisory registra ausência de exploração pública conhecida até 27/01/2026. Informações adicionais sobre patches específicos, cronogramas de atualização e indicadores de comprometimento devem ser obtidas diretamente dos comunicados oficiais da Johnson Controls e da CISA.
Fonte do advisory: JCI-PSA-2026-02 (Johnson Controls) e republicação CISA ICSA-26-027-04.