JCI Illustra Essentials Gen 4 IP Cameras - 1 Critical, 3 Medium Vulnerabilities

Executive *******

*** **** ****** ************* ** * critical *.* ************* **** *********** **** development ********* **** ** ***** *******. It ****** ** ******** ** ***** / ****** ********** ********* **** ******, and *** ******, ** ****, "*********" them.

***** *** ************ ********* ** *** disclosures, ** ******* *** **** ****** CVE ******* * ************* **** ** injection ******. *** ********* **** ** low ** ****** ** *** ******** must ** ************* **** ***** ** root *********** ** ***** *** **** exploit. *** ** **********, *** ******** has **** ******* **** *** *******/****** and ***** ****** ******* ******* ****** the ******* ****** / **** *** admin ***********.

******* *** ********** **** ****** **** the ********** *** **** ** ******** these ***************, *** *********** *********** ******: (1) ***** **** *** **** *** updates / ******* ******** *** ***** vulnerabilities, *** ***** *** *******, ***** was ** ******** **** *** ** either. ***, *** ******* ******** ******** are ******** ***** **** **** ** July ****, *** ***** ***** ******* public **********, ******* ********** * ********** firmware ***** *********, *** (*) ***** devices *** *** *****-********** / *******, so ** ******* **** (** *** most) ******* **** ****** **********.

JCI *** **********

***'* ******* ****** / *** *********** has **** ************* ****. *** *******, on *** ****** ****, ***'* **** major ******* *** ** **** **** its *** * *** (*** *******-*** cameras) ******** ** ****** ********* (*.*., people/vehicle), *** ***** **** **** ** substantial *******/******** ***** **** *** **** less ******* ** *** ***-**-*** ***** cameras. ********* / **** ***** **************** ********** **** **** ** ******* Tested

** **********, **** ****** ************* **** released ****** ** **** ******* ******, e.g., (********, ****, ******, ***.) **** new ****, *********, ******** **********, **** features, ***., ****** *** ***, ***, and ****-*** *******, ***** *** *** not.

************, *** ********** *** ********** **** from ***** ************, *.*. (**** ******** *****), *** **** **** *** ************* declined ** **** ********** *** ********** by****** ***** ***** / *******.

*******, *********** ***/*** ************* ****,***** ***/*** ************* ****, ******** ************ ********** ****

Shift ** ***** / ** *****

** *** ***** ** ***** *** AI ******* ***********, *** **** ***** it *** ******** *** ***** *** portfolios ** ******* ** *** **** generation. *********, *** ** ********** *** profitable ** ** ********* **** ***** accounts, *** *** ******* ** *** tech **********.

*******, ****** ******** *** *********, ********** *** Plans

JCI's ********

**** **** *** ******** ********* ** CISA *** *** *** ********** **** vague; ** *** ********, *** ********* they ********* *** *************** ** ****, did ***** *** **********, *** ****** to ****** ****.

***'* **** ********:

******* ******** ***** *** ******* *** reliability ** *** ******** *********. *** recent ******* ******** ******* ******** ********** (PSA) *** ******** ********* *** * cameras (***-***-****-*, ***-***-****-*, ***-***-****-* *** ***-***-****-**), along **** ***** ********** ************* & Infrastructure ******** ****** (****) ********** ******* Systems ********** (****) *********** *** ******* additional *******.

***** *********** **** *** **** ** CISA ** ******* ********. *** *********** included:

• ******* ********’ ******* ******** ********** (****)
• **** **********
• ****

*** ****, **** ******* *.*, * researcherreported **** ************* ** ******* ********. As ****** ** **********, ** ******* ******* **** *********** security *********** *** ******* ****’** ***** high ** ******** *************** ** * Johnson ******** ******* — *** **** whom ** **** ** *********** ** address *************** ***** * *********** ************* Disclosure *******.

****** **** **** *** ******** ********* cameras *** *** * ***** ********.

JCI **** *** *******, *********** *** ** ***'* "**** ** ******"

*******, *** *** *** ******* ** / ******* ** ** *** / did *** *** *** ************* ********** or ********* ** **** **** ** "partnership" *** ********** *** *** **** - *** ********* ***** "**** ** ******" ***** ** "************" *********** *** worked **** **** *** *** **********, and *** **** ****** *** *** listed:

***** ** ** *** **** *** certain, ** ******* *** ********** *** JCI *** *********, ** ***** ******** some ******** ******** ** ***** ********** were ** ***** *** ***** ***************.

No ******** ******* ********* (***)

******* **** **** *** *** *********** mentioning *********** / ******** ******* ***** available **** ******** ***** *************** ** the ******** ***********, ***** *** ** expected **** *** * ******** ***, but * ******** ******* *** ******:

*** ** ***'* ******* / ******* pages, **** *** ********** ******* *** still ****** / *****:

*******, ** ** * ********** *******, as ********* ** ****'* **********:

*.* ******** ********

******* ******** ******* **** *** ********* versions ** ******** ********** *** * IP ****** *** ********:

• ******** ********** *** *:all ******** ** ** ********.****.**.**.**.**** [Emphasis Added]

Adds ******** ******** ******* ***** **** *******

*** *** ***** **** ********* ******** with ****, ***, *** *** **********, CISA's ********** ***** ** ******** ******* date ** **** ****, **** - which ** ******* *** ***** **** the ******* ****** ********** (**** ****, 2024)

****** *******:

*. ***********

******* ******** ********** **** ***** ******* cameras ** ********.****.**.**.**.****

*** **** ******** ********** ************, ****** see******* ******** ******* ******** ******** ***-***-****-** v1

***** **** *******:

*. ***********

******* ******** ********** **** ***** ******* cameras ** ********.****.**.**.**.****(to ** ******** **** **, ****). For more detailed mitigation instructions, please see ******* ******** ******* ******** ******** ***-***-****-** v1[******** *****]

************, **** ** ********* ** ****'* Update ******* *******:

Suspect **** ******* ****** **********

******* ******* ******** ********* ** *** coming *****, ** ******* **** **** of ***** ******* **** ****** ********** (e.g., **** ******** ********* ********) ** they *** *** *****-******* *** **** be ******* *******.

****, ***** ** * **** **** vulnerabilities *** ***** ****** *** ****** in *** ******* **** ***** *** next ******, ** *** ******** *** not **** ***** *** *** ******.

CVE ********** *****

***** *************** **** ***** ****** ******* different **** *****, ***** ** ******** will ** **** * *** ****** or **** ** *** *** *** assigned *** *** *** **********, *** commonly ** ** **** *** ***** / ******** ** *** **** **** / ****.

** ****, ***** ** *** *************** are:

***-****-*****,***-****-*****,***-****-*****, *** *** *********-****-******* ***.

Vulnerabilities ********

** *** ********* *******, ** ****** each ** *** **** *** ***** practical *****.

*** *** *************** ********** **** *********** practices, *** *** ******* ********* ** authenticate **** ***** ** **** *********** before **********. *******, *** *** ** exploited ******** / **** *** *******.

Improper ***** ********** ******** ******** *.* (***-****-*****)

*** **** ****** ************* ** * critical *.* ************* **** *********** **** development *********. *******, *** ********* **** is *** ** ****** ** ** attacker **** ** ************* ***** **** or ***** ***********.

*******, ************ ****** ** ******** ** input / ****** ********** ********* **** inputs, *** *** ******, ** ****, "validates" ****. ****, ** ******** *** complete ******* / ****** **** *** devices *** ***** ****** / ******* other ******* ******* **** **** *** admin / **** ****** *********** ******.

Storing ********* ** * *********** ****** (*** *********), ****** *.* (***-****-*****)

***** *** *************** **** ********* **** similar ******—******** ********* ** ** ********* with *** **** ******** *******—*** ********** element ******.

*** ********* **** ** *** ** medium, ** ** ******** **** ** authenticated **** **** ** *****-***** ****** before ***** **** ** ******* **. However, ** **********, ** ******** ***** full ****** *** *** ****** ********** users, *********, ***., *** ************ ****** access ****** ********* *****/*******, ***.

Storing ******** ** * *********** ****** (*****), ****** *.* (***-****-*****)

**** *** ********** ******, ** ******** must ** ************* **** **** ** admin-level ****** ****** ********** * ****** / ****** *** ********* *** ******* associated *****.

Insertion ** ********* *********** **** *** ****, ****** *.* (***-****-*****)

*** ********* **** ** * ****** is *** ** ****** ** ** requires **** ** *****-***** ******. *******, if ************ *********, ** ******** ***** have ****** ** *********** ********* ***********—*** at **** ***** **** ** **** is * ******, *** *** ****** of ***** ********* *********** ****** ** minimal.