Vulnerabilità CVE-2025-26385 nei sistemi Metasys Johnson Controls

La vulnerabilità CVE-2025-26385 rappresenta una delle minacce più gravi mai scoperte nei sistemi di automazione degli edifici intelligenti. Con un punteggio CVSS di 10.0, questa falla critica nei sistemi Johnson Controls Metasys mette a rischio migliaia di strutture in tutto il mondo, dalle infrastrutture sanitarie agli edifici governativi.

Cos’è la vulnerabilità CVE-2025-26385 e perché è così pericolosa

La CVE-2025-26385 è una vulnerabilità di SQL injection che colpisce l’Application and Data Server (ADS) e gli strumenti di configurazione dei sistemi Metasys di Johnson Controls. Questa falla permette a un attaccante remoto di eseguire comandi SQL malevoli senza alcuna autenticazione preventiva.

Il punteggio CVSS massimo di 10.0 indica che questa vulnerabilità presenta:

• Facilità di sfruttamento elevata
• Nessuna interazione dell’utente richiesta
• Impatto completo su confidenzialità, integrità e disponibilità
• Accesso remoto attraverso la rete

Gli attaccanti possono sfruttare questa falla per ottenere il controllo completo sui sistemi che gestiscono funzioni critiche come climatizzazione, illuminazione, sicurezza e controllo accessi degli edifici.

I sistemi Metasys e la loro diffusione critica

I sistemi Johnson Controls Metasys sono ampiamente utilizzati in infrastrutture critiche in tutto il mondo. Questi includono:

• Ospedali e strutture sanitarie – dove controllano sistemi vitali per la sicurezza dei pazienti
• Centri commerciali e uffici – per la gestione energetica e la sicurezza
• Edifici governativi – che richiedono elevati standard di sicurezza
• Impianti industriali – dove controllano processi produttivi critici
• Università e istituzioni educative – per la gestione di campus estesi

La diffusione capillare di questi sistemi amplifica enormemente l’impatto potenziale di un attacco coordinato, rendendo questa vulnerabilità una minaccia per la sicurezza nazionale.

Impatti devastanti di un possibile attacco

Manipolazione dei sistemi HVAC

Gli attaccanti possono alterare i sistemi di climatizzazione per:

• Causare surriscaldamenti o congelamenti dannosi per le strutture
• Compromettere la qualità dell’aria negli ospedali
• Danneggiare apparecchiature sensibili attraverso condizioni ambientali estreme
• Aumentare drasticamente i costi energetici

Compromissione della sicurezza fisica

Il controllo sui sistemi di sicurezza permette agli attaccanti di:

• Disattivare allarmi e sistemi di videosorveglianza
• Manipolare i controlli di accesso per facilitare intrusioni
• Aprire o bloccare porte di emergenza
• Compromettere l’illuminazione di sicurezza

Interruzioni di servizio critiche

In strutture come ospedali, un attacco può causare:

• Interruzioni dei sistemi di supporto vitale
• Compromissione della sterilizzazione delle sale operatorie
• Perdita del controllo ambientale in reparti critici
• Evacuazioni di emergenza non necessarie

Come gli attaccanti sfruttano la vulnerabilità

La CVE-2025-26385 è particolarmente insidiosa perché richiede solo accesso remoto ai sistemi vulnerabili. Questo accesso è spesso facilitato da:

• Esposizione diretta su Internet – molti sistemi Metasys sono configurati con accesso web per la gestione remota
• Reti non segmentate – dove i sistemi di automazione condividono la rete con altri dispositivi
• VPN compromesse – che danno accesso alla rete interna dell’organizzazione
• Configurazioni predefinite insicure – che facilitano l’individuazione e l’accesso ai sistemi

Una volta ottenuto l’accesso, l’attaccante può:

1. Iniettare codice SQL malevolo attraverso parametri web vulnerabili
2. Leggere, modificare o cancellare dati dal database
3. Escalare i privilegi per ottenere controllo amministrativo
4. Installare backdoor per accessi futuri persistenti

Strategie di mitigazione e protezione immediate

Patch e aggiornamenti urgenti

Johnson Controls ha rilasciato patch specifiche per questa vulnerabilità. Le azioni immediate includono:

• Applicare immediatamente le patch di sicurezza disponibili
• Aggiornare alla versione Metasys 15.0 che include strumenti di cybersecurity avanzati
• Verificare l’installazione corretta delle patch attraverso test di funzionalità

Rafforzamento della sicurezza di rete

Implementare misure di sicurezza di rete robuste:

• Segmentazione della rete – isolare i sistemi di automazione dalla rete principale
• Firewall dedicati – configurare regole specifiche per il traffico verso i sistemi Metasys
• Monitoraggio del traffico – implementare soluzioni di rilevamento anomalie
• Accesso VPN sicuro – utilizzare connessioni VPN robuste per l’accesso remoto

Misure di sicurezza aggiuntive

Altre azioni preventive cruciali includono:

• Audit regolari delle configurazioni di sicurezza
• Implementazione di sistemi di backup offline
• Formazione del personale su minacce di cybersecurity
• Sviluppo di piani di risposta agli incidenti specifici

L’importanza di una risposta coordinata

La natura critica di questa vulnerabilità richiede una risposta coordinata tra organizzazioni, fornitori e autorità di sicurezza. Le agenzie governative di cybersecurity hanno emesso avvisi urgenti, sottolineando la necessità di azioni immediate.

Organizzazioni che gestiscono infrastrutture critiche dovrebbero prioritizzare questa vulnerabilità nei loro programmi di gestione del rischio e considerare l’implementazione di misure di sicurezza compensative fino all’applicazione completa delle patch.

La CVE-2025-26385 rappresenta un campanello d’allarme per l’industria dell’automazione degli edifici, evidenziando la necessità di integrare la sicurezza informatica fin dalla fase di progettazione dei sistemi di controllo industriale.