W systemie kontroli dostępu i monitorowania zdarzeń LenelS2 NetBox wykryto krytyczną podatność typu command injection umożliwiającą nieuwierzytelnione zdalne wykonanie kodu. Atakujący bez żadnych uprawnień może wykonać złośliwe polecenia z podwyższonymi uprawnieniami na podatnym urządzeniu.
▸ Pokaż oryginał (EN)
LenelS2 NetBox access control and event monitoring system was discovered to contain an unauthenticated RCE in versions prior to and including 5.6.1, which allows an attacker to execute malicious commands with elevated permissions.
Podatność sklasyfikowana jako CWE-78 (OS Command Injection) pozwala nieuprawnionemu atakującemu na wstrzyknięcie i wykonanie dowolnych poleceń systemowych poprzez sieć, bez konieczności uwierzytelnienia. Złośliwe polecenia są wykonywane z podwyższonymi uprawnieniami, co oznacza, że atakujący uzyskuje szeroki dostęp do systemu operacyjnego urządzenia. Brak wymagania interakcji po stronie użytkownika oraz brak konieczności spełnienia specjalnych warunków wstępnych czyni tę podatność szczególnie groźną w środowiskach sieciowych.
Atakujący może przejąć pełną kontrolę nad systemem LenelS2 NetBox, wykonując dowolne polecenia z podwyższonymi uprawnieniami, co może prowadzić do naruszenia poufności, integralności i dostępności systemu kontroli dostępu oraz monitorowania zdarzeń.
Należy niezwłocznie zaktualizować system LenelS2 NetBox do wersji wyższej niż 5.6.1. Szczegółowe instrukcje dostępne są w poradniku producenta (CARR-PSA-2024-01) oraz w komunikacie ICS-CERT ICSA-24-151-01. Do czasu wdrożenia patcha zaleca się izolację urządzenia od niezaufanych segmentów sieci oraz ograniczenie dostępu sieciowego do systemu za pomocą firewall.
Honeywell LenelS2 NetBox w wersjach do 5.6.1 włącznie (prior to and including 5.6.1)
Podatność dotyczy systemu przemysłowego klasy ICS (kontrola dostępu fizycznego), co zostało potwierdzone przez ostrzeżenie CISA ICS-CERT (ICSA-24-151-01). Kompromitacja systemu może mieć konsekwencje wykraczające poza środowisko IT, obejmując bezpieczeństwo fizyczne chronionego obiektu.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XHoneywell Lenels2 Netbox
APPHoneywell< 5.6.2
Powiązane podatności
Uwierzytelniony RCE w LenelS2 NetBox (wersje do 5.6.1 włącznie)
LenelS2 NetBox access control and event monitoring system was discovered to contain Hardcoded Credentials in v...
Honeywell IQ4x — brak uwierzytelnienia w fabrycznym HMI (CWE-306)
OS Command Injection w Honeywell MB-Secure i MB-Secure PRO (privilege abuse)
Nieautoryzowana modyfikacja plików w Honeywell ControlEdge UOC i VirtualUOC