JCI Illustra Essentials Gen 4 IP Cameras - 1 Critical, 3 Medium Vulnerabilities
CISA disclosed four vulnerabilities, including one critical 9.1 vulnerability and three medium-severity vulnerabilities, in JCI / Tyco's Illustra Essentials Gen4 NDAA IP Cameras.
In this note, we examine the practical risks of these vulnerabilities and the concerns they raise, including comments from JCI.
Executive *******
*** **** ****** ************* ** * critical *.* ************* **** *********** **** development ********* **** ** ***** *******. It ****** ** ******** ** ***** / ****** ********** ********* **** ******, and *** ******, ** ****, "*********" them.
***** *** ************ ********* ** *** disclosures, ** ******* *** **** ****** CVE ******* * ************* **** ** injection ******. *** ********* **** ** low ** ****** ** *** ******** must ** ************* **** ***** ** root *********** ** ***** *** **** exploit. *** ** **********, *** ******** has **** ******* **** *** *******/****** and ***** ****** ******* ******* ****** the ******* ****** / **** *** admin ***********.
******* *** ********** **** ****** **** the ********** *** **** ** ******** these ***************, *** *********** *********** ******: (1) ***** **** *** **** *** updates / ******* ******** *** ***** vulnerabilities, *** ***** *** *******, ***** was ** ******** **** *** ** either. ***, *** ******* ******** ******** are ******** ***** **** **** ** July ****, *** ***** ***** ******* public **********, ******* ********** * ********** firmware ***** *********, *** (*) ***** devices *** *** *****-********** / *******, so ** ******* **** (** *** most) ******* **** ****** **********.
JCI *** **********
***'* ******* ****** / *** *********** has **** ************* ****. *** *******, on *** ****** ****, ***'* **** major ******* *** ** **** **** its *** * *** (*** *******-*** cameras) ******** ** ****** ********* (*.*., people/vehicle), *** ***** **** **** ** substantial *******/******** ***** **** *** **** less ******* ** *** ***-**-*** ***** cameras. ********* / **** ***** **************** ********** **** **** ** ******* Tested
** **********, **** ****** ************* **** released ****** ** **** ******* ******, e.g., (********, ****, ******, ***.) **** new ****, *********, ******** **********, **** features, ***., ****** *** ***, ***, and ****-*** *******, ***** *** *** not.
************, *** ********** *** ********** **** from ***** ************, *.*. (**** ******** *****), *** **** **** *** ************* declined ** **** ********** *** ********** by****** ***** ***** / *******.
*******, *********** ***/*** ************* ****,***** ***/*** ************* ****, ******** ************ ********** ****
Shift ** ***** / ** *****
** *** ***** ** ***** *** AI ******* ***********, *** **** ***** it *** ******** *** ***** *** portfolios ** ******* ** *** **** generation. *********, *** ** ********** *** profitable ** ** ********* **** ***** accounts, *** *** ******* ** *** tech **********.
*******, ****** ******** *** *********, ********** *** Plans
JCI's ********
**** **** *** ******** ********* ** CISA *** *** *** ********** **** vague; ** *** ********, *** ********* they ********* *** *************** ** ****, did ***** *** **********, *** ****** to ****** ****.
***'* **** ********:
******* ******** ***** *** ******* *** reliability ** *** ******** *********. *** recent ******* ******** ******* ******** ********** (PSA) *** ******** ********* *** * cameras (***-***-****-*, ***-***-****-*, ***-***-****-* *** ***-***-****-**), along **** ***** ********** ************* & Infrastructure ******** ****** (****) ********** ******* Systems ********** (****) *********** *** ******* additional *******.
***** *********** **** *** **** ** CISA ** ******* ********. *** *********** included:
- ******* ********’ ******* ******** ********** (****)
- **** **********
- ****
*** ****, **** ******* *.*, * researcherreported **** ************* ** ******* ********. As ****** ** **********, ** ******* ******* **** *********** security *********** *** ******* ****’** ***** high ** ******** *************** ** * Johnson ******** ******* — *** **** whom ** **** ** *********** ** address *************** ***** * *********** ************* Disclosure *******.
****** **** **** *** ******** ********* cameras *** *** * ***** ********.
JCI **** *** *******, *********** *** ** ***'* "**** ** ******"
*******, *** *** *** ******* ** / ******* ** ** *** / did *** *** *** ************* ********** or ********* ** **** **** ** "partnership" *** ********** *** *** **** - *** ********* ***** "**** ** ******" ***** ** "************" *********** *** worked **** **** *** *** **********, and *** **** ****** *** *** listed:
***** ** ** *** **** *** certain, ** ******* *** ********** *** JCI *** *********, ** ***** ******** some ******** ******** ** ***** ********** were ** ***** *** ***** ***************.
No ******** ******* ********* (***)
******* **** **** *** *** *********** mentioning *********** / ******** ******* ***** available **** ******** ***** *************** ** the ******** ***********, ***** *** ** expected **** *** * ******** ***, but * ******** ******* *** ******:
*** ** ***'* ******* / ******* pages, **** *** ********** ******* *** still ****** / *****:
*******, ** ** * ********** *******, as ********* ** ****'* **********:
*.* ******** ********
******* ******** ******* **** *** ********* versions ** ******** ********** *** * IP ****** *** ********:
******** ********** *** *:all ******** ** ** ********.****.**.**.**.**** [Emphasis Added]
Adds ******** ******** ******* ***** **** *******
*** *** ***** **** ********* ******** with ****, ***, *** *** **********, CISA's ********** ***** ** ******** ******* date ** **** ****, **** - which ** ******* *** ***** **** the ******* ****** ********** (**** ****, 2024)
****** *******:
*. ***********
******* ******** ********** **** ***** ******* cameras ** ********.****.**.**.**.****
*** **** ******** ********** ************, ****** see******* ******** ******* ******** ******** ***-***-****-** v1
***** **** *******:
*. ***********
******* ******** ********** **** ***** ******* cameras ** ********.****.**.**.**.****(to ** ******** **** **, ****). For more detailed mitigation instructions, please see ******* ******** ******* ******** ******** ***-***-****-** v1[******** *****]
************, **** ** ********* ** ****'* Update ******* *******:
Suspect **** ******* ****** **********
******* ******* ******** ********* ** *** coming *****, ** ******* **** **** of ***** ******* **** ****** ********** (e.g., **** ******** ********* ********) ** they *** *** *****-******* *** **** be ******* *******.
****, ***** ** * **** **** vulnerabilities *** ***** ****** *** ****** in *** ******* **** ***** *** next ******, ** *** ******** *** not **** ***** *** *** ******.
CVE ********** *****
***** *************** **** ***** ****** ******* different **** *****, ***** ** ******** will ** **** * *** ****** or **** ** *** *** *** assigned *** *** *** **********, *** commonly ** ** **** *** ***** / ******** ** *** **** **** / ****.
** ****, ***** ** *** *************** are:
***-****-*****,***-****-*****,***-****-*****, *** *** *********-****-******* ***.
Vulnerabilities ********
** *** ********* *******, ** ****** each ** *** **** *** ***** practical *****.
*** *** *************** ********** **** *********** practices, *** *** ******* ********* ** authenticate **** ***** ** **** *********** before **********. *******, *** *** ** exploited ******** / **** *** *******.
Improper ***** ********** ******** ******** *.* (***-****-*****)
*** **** ****** ************* ** * critical *.* ************* **** *********** **** development *********. *******, *** ********* **** is *** ** ****** ** ** attacker **** ** ************* ***** **** or ***** ***********.
*******, ************ ****** ** ******** ** input / ****** ********** ********* **** inputs, *** *** ******, ** ****, "validates" ****. ****, ** ******** *** complete ******* / ****** **** *** devices *** ***** ****** / ******* other ******* ******* **** **** *** admin / **** ****** *********** ******.
Storing ********* ** * *********** ****** (*** *********), ****** *.* (***-****-*****)
***** *** *************** **** ********* **** similar ******—******** ********* ** ** ********* with *** **** ******** *******—*** ********** element ******.
*** ********* **** ** *** ** medium, ** ** ******** **** ** authenticated **** **** ** *****-***** ****** before ***** **** ** ******* **. However, ** **********, ** ******** ***** full ****** *** *** ****** ********** users, *********, ***., *** ************ ****** access ****** ********* *****/*******, ***.
Storing ******** ** * *********** ****** (*****), ****** *.* (***-****-*****)
**** *** ********** ******, ** ******** must ** ************* **** **** ** admin-level ****** ****** ********** * ****** / ****** *** ********* *** ******* associated *****.
Insertion ** ********* *********** **** *** ****, ****** *.* (***-****-*****)
*** ********* **** ** * ****** is *** ** ****** ** ** requires **** ** *****-***** ******. *******, if ************ *********, ** ******** ***** have ****** ** *********** ********* ***********—*** at **** ***** **** ** **** is * ******, *** *** ****** of ***** ********* *********** ****** ** minimal.
** *** ***** **** ***** ***** on "***********" ****** ***-**-*** ******* ******* will ********** **** ** **** *********** on *** *****/******** ****?
**** ********* **** ***** ** ******* ******** ****-**** **** *** ****- ***** ******** involves ****/******** ******** ** **** ** their **** ****** ********- ****** * have *** **** ***** **** ** view *** ******.
** **** ****- **** ****** ** be ********* *********** ******- ************* ** ***** ****** ****.
*****, ******, ******* *** *** ******* Controls **** ******, ******* *** | Reuters
*********: ******* ******** ****** **** ** ADT ****** ****, ******* *** | Reuters
******** ******* ***** **** ** ******* Air ************ ************ **** ******* *********
**** **** * *** ******- **** and ******** ****** * ***** *****-****** a ********* ***.
** *********-** *** ***** **** **** have ******** ** ******** ****** ** their ***** ************ *********** ** *** next *** *****, ******* ****** **?
** *** ***** **** **** **** positive ** ******** ****** ** ***** video ************ ***********
*** *** *** ************ **** **** development ** ***** ************, ** **'* fair ** ****** **** **** ********, especially ***** **** **** ***** ******* broader **********.
*** ****** ******** ** ******* *** decides ** ***** * *** ******* million ** **** ***** *** ******** on ****** * ******* (***** *** be * ********** *** ***********). **** I ***** ** **** ******** *** unsure *** ********* **** ***** ** to ******** * ******* ** **** space.
*** ****** ******** ** ******* *** decides ** ***** * *** ******* million ** **** ***** *** ******** on ****** * ******* (***** *** be * ********** *** ***********). **** I ***** ** **** ******** *** unsure *** ********* **** ***** ** to ******** * ******* ** **** space.
**- *** ***** **: *********** ***** come **** ************ ****** **** *********** (I *** ***** "***********" ****** *******, apologies *****).
**********- ** **** ** **** **** would *** ** ******* ** ***** a *** ******* *******-*** ******** ** a **** ***** ************ ***- **** did ***** ~$*** *** ** **** for**: *******- ***** ** ***** ******** ********** platform *** *** ********* **** ******** access ******** *** ******* **********- ** they *** ** ******* ** ***** in **** ***** ** **** **** of ******* ************ **** ******** ***** or ***** ** **** ** * larger ********* (****** ********* ** *** it *** ********* **** ***** ******* portfolio/how ** *** ** **** ** current ******** **** ***.)
**** **** **** **** **********- *'* not ****/*** **** ***** **** ***** fall ** ***** ****** **********, ***.
#*, ** **** *****, **** *** tell ** **** **** **** ************ that ***** ******** *** *********, ********** *** Plans, ****** ********* ***** *** ***********:
** ******* ********, ** *** ******* at **** **bring *** ******** ******** ** ****** ********* ******* **** ************* *** ******* **** ***** ******* * ********** ** ************ ****** **** ********** ********. * **** ** ******* ** share **** ***** **** ** *** coming ******.*** ******** ******** ** *** of *** *** ********** ****** **** continues ** **** ****** ******* ****** and ** *** *********** *********** ** it. *** *** ****** ** ***identifying ********* ******* *** ***** *** ******* ** ********: ****** *******, *****, *** *********, **create ****** ************ *** ******* ** *****. [******** added]
**** ***** **** ** **** ***** was ****** ** **** **** ******* but ***** *** *** ******* **** bit ***** **** ***********. *** ********* how **** "***********" *** **** **** doing **** *****?
****'* **** ******* ***** ***** ***** improvements ** ** **** ****** ** is ** **** *****?
* ***** ********* *** *** * Access ******* ********* ********, *******, ******** ACM?
******* + ******** ***** **** **** have *********** *** ***** ******** *** not **** *** ** *** *** camp *** *****.
** *** **** **** * ***** from *** ** ***** ** ** the ****** ********** ****** *** **** fancy ***** *** *** *** ***** which *** **** ******.
*** ** **** *** ***** ******* from?
**** ********** **** ** #* **** - ***** *** ****** ******* ****.
[[****: ******* ** *** ************]]
* *** ** **** *** *********** | ***** ************ & ***** IoT
*** ******* ******** ** ** ** what ******* ** *** ***** ** video ************ ***** ****? ** *** lack ** ****** *********** *******, **'* not * *** *************.
******* ** **** ******* ********, ******** recently ******** ***** ******** *** *********, ********** *** Plans