Falha crítica de SQL na Johnson Controls coloca infraestruturas industriais em alerta máximo
Uma vulnerabilidade de injeção de SQL classificada como crítica, identificada como CVE-2025-26385, foi descoberta em diversos produtos industriais da Johnson Controls, empresa amplamente utilizada em ambientes de missão crítica ao redor do mundo. A falha recebeu pontuação 10,0 na escala CVSS v3, patamar máximo de gravidade, o que indica potencial de impacto severo tanto em continuidade operacional quanto em segurança de dados e até segurança física.
O problema permite que um atacante remoto, sem necessidade de autenticação prévia, envie comandos SQL arbitrários para os sistemas vulneráveis. Em termos práticos, isso significa que um invasor pode manipular diretamente o banco de dados subjacente, com possibilidade de alterar configurações, apagar registros, inserir dados maliciosos ou extrair informações sensíveis armazenadas nos sistemas afetados.
A origem da vulnerabilidade está em uma neutralização inadequada de caracteres e elementos especiais utilizados em comandos, o clássico cenário de injeção de SQL. Sem validação e sanitização correta das entradas, o sistema passa a interpretar dados fornecidos pelo atacante como instruções legítimas, abrindo caminho para controle indevido do banco de dados.
Seis produtos da Johnson Controls foram apontados como impactados:
– Application and Data Server (ADS)
– Extended Application and Data Server (ADX)
– LCS8500
– NAE8500 (Network Automation Engine)
– System Configuration Tool (SCT)
– Controller Configuration Tool (CCT)
Essas soluções são amplamente adotadas em setores como energia, manufatura, transporte, prédios inteligentes e instalações governamentais, frequentemente em ambientes classificados como infraestrutura crítica. Isso eleva a vulnerabilidade de um simples problema técnico a uma questão de risco operacional e, em alguns casos, de segurança nacional.
O risco não se limita à exposição de dados. Em sistemas industriais, a camada de supervisão e controle está diretamente conectada a processos físicos – esteiras, válvulas, HVAC, controle de acesso, sistemas prediais, entre outros. Um atacante que consiga alterar configurações ou comandos por meio da exploração de SQL injection pode provocar interrupções de serviço, degradação de desempenho, falhas em cadeia e, em cenários extremos, danos a equipamentos ou risco à integridade de pessoas.
Até o momento da divulgação, não foram registrados casos públicos de exploração ativa da CVE-2025-26385, mas a combinação de três fatores — gravidade máxima, ampla base instalada e natureza sensível dos ambientes — faz com que a ameaça deva ser tratada como prioridade absoluta por equipes de segurança, times de automação e gestores de risco.
O primeiro passo recomendado é revisar a topologia de rede e garantir que nenhum dos dispositivos ou servidores afetados esteja exposto diretamente à internet. Em ambientes industriais, essa prática deveria ser padrão, mas, na realidade, muitas plantas e prédios inteligentes ainda apresentam conexões abertas ou mal segmentadas, resultado de expansão rápida, projetos antigos ou integrações mal planejadas.
A segmentação de rede robusta é outra medida essencial. Redes de controle (OT) e redes corporativas (TI) precisam estar claramente separadas, com firewalls e listas de controle de acesso (ACLs) restringindo ao máximo a comunicação entre domínios. O ideal é que o tráfego seja permitido apenas quando houver justificativa operacional clara e que todos os acessos sejam monitorados e registrados.
Para acessos remotos, o uso de VPNs devidamente configuradas, com autenticação forte (preferencialmente multifator) e atualizadas contra vulnerabilidades conhecidas, é fundamental. Um canal remoto inseguro pode transformar uma falha localizada em uma porta de entrada global para toda a infraestrutura.
Os CISOs, gerentes de segurança e responsáveis por tecnologia operacional devem priorizar a aplicação imediata dos patches disponibilizados pela Johnson Controls, seguindo as orientações oficiais do fabricante descritas no advisory ICSA-26-027-04. A gestão de vulnerabilidades em ambientes industriais costuma ser mais complexa do que em TI tradicional, devido à necessidade de janelas de manutenção e ao risco de parar processos produtivos, mas a criticidade desta falha justifica esforços emergenciais de atualização.
Para ambientes legados ou sistemas que não podem ser corrigidos de imediato, medidas compensatórias tornam-se indispensáveis. Entre elas, destacam-se:
– Air-gapping sempre que possível, isolando fisicamente redes de controle de qualquer conexão externa;
– Implementação de monitoramento reforçado de tráfego de rede, com detecção de comportamentos anômalos e tentativas de exploração;
– Restrição estrita de contas com privilégios administrativos e revisão de credenciais;
– Revisão de integrações com sistemas de terceiros e aplicações customizadas que possam aumentar a superfície de ataque.
Qualquer atividade suspeita, como tentativas de acesso não autorizadas, padrões de consulta SQL anômalos ou comportamentos incomuns em servidores ADS, ADX, NAE8500 e demais produtos listados, deve ser prontamente registrada, analisada e tratada. A coordenação com órgãos e autoridades de cibersegurança é uma prática recomendada para compartilhamento de indicadores de comprometimento e adoção de contramedidas mais amplas.
É importante também que as organizações tratem essa vulnerabilidade como um gatilho para revisão mais ampla de sua postura de segurança OT/ICS. Muitas plantas industriais e edifícios inteligentes ainda operam com dispositivos configurados anos atrás, sem inventário atualizado, com senhas padrão e com inexistência de políticas formais de atualização. A CVE-2025-26385 expõe, de forma clara, o quanto esses ambientes ainda dependem de softwares complexos que, ao serem negligenciados, podem se transformar em pontos críticos de comprometimento.
Treinamento e conscientização internos desempenham papel relevante. Equipes de manutenção predial, automação, facilities e operação industrial, que muitas vezes não se veem como parte do time de segurança, precisam entender que mudanças aparentemente simples — como abrir uma porta de acesso remoto temporária, usar um notebook pessoal para acessar o SCT ou reutilizar credenciais — podem criar brechas graves em sistemas sensíveis.
Outro ponto que merece atenção é a gestão de fornecedores e integradores. Muitos ambientes com produtos Johnson Controls são projetados, implantados e mantidos por terceiros. Isso exige contratos que incluam cláusulas claras de segurança, cronogramas de atualização e responsabilidade compartilhada em caso de incidentes. Sem essa governança, a aplicação de patches e a correção de vulnerabilidades tendem a ser lentas, fragmentadas e inconsistentes entre diferentes sites e plantas.
Do ponto de vista de continuidade de negócios, a falha ressalta a importância de planos de resposta a incidentes específicos para ambientes OT. Nem todo plano criado para TI corporativa é suficiente para lidar com a parada de um sistema de automação predial ou de um controle de climatização crítico em data centers, hospitais ou centros de comando. Testes de simulação, exercícios de mesa e definição clara de papéis entre operação, TI, segurança e alta gestão são componentes indispensáveis.
Empresas brasileiras e latino-americanas, em particular, devem avaliar com atenção se utilizam ADS, ADX, NAE8500, LCS8500, SCT ou CCT em ambientes ligados a energia, saneamento, mobilidade urbana, portos, aeroportos, hospitais, universidades, shopping centers e edifícios corporativos de grande porte. A combinação de alta dependência desses sistemas com baixo nível histórico de investimento em segurança OT aumenta o potencial de impacto na região.
Por fim, a CVE-2025-26385 reforça uma lição recorrente: soluções de automação e controle, apesar de parecerem “caixas cinzas” de engenharia, são, na prática, sistemas de informação complexos, baseados em bancos de dados, protocolos de rede e aplicações de software sujeitas aos mesmos tipos de vulnerabilidades que afetam o mundo de TI. Ignorar essa convergência entre TI e OT deixa brechas para incidentes que podem ir muito além de um simples vazamento de dados, alcançando o coração da operação física de uma organização.
A resposta adequada passa, portanto, por três eixos principais: correção técnica rápida (patching e mitigação), fortalecimento arquitetural (segmentação, isolamento, monitoramento) e amadurecimento de governança (processos, contratos, treinamento e planos de resposta). Organizações que agirem com rapidez e profundidade diante desta falha crítica estarão mais preparadas não apenas para a CVE-2025-26385, mas para a próxima onda de vulnerabilidades que certamente atingirá o ecossistema de controle industrial e automação predial.