CRITICAL🇬🇧 English

CVE-2024-2422

Uwierzytelniony RCE w LenelS2 NetBox (wersje do 5.6.1 włącznie)

CVSS 9.3v4.0pub. 2024-05-30upd. 2026-02-02

System kontroli dostępu i monitorowania zdarzeń LenelS2 NetBox zawiera krytyczną podatność umożliwiającą uwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń na serwerze. Wysokie ocena CVSS 9.3 wynika z braku wymagań co do uprawnień sieciowych i możliwości pełnego przejęcia integralności oraz dostępności systemu.

Pokaż oryginał (EN)

LenelS2 NetBox access control and event monitoring system was discovered to contain an authenticated RCE in versions prior to and including 5.6.1, which allows an attacker to execute malicious commands.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-88 (argument injection/injection into argument) pozwala atakującemu na wstrzyknięcie złośliwych argumentów lub poleceń w miejscu, gdzie aplikacja NetBox przetwarza dane wejściowe i przekazuje je do wywołań systemowych lub zewnętrznych procesów. Atakujący posiadający dostęp do uwierzytelnionej sesji może spreparować odpowiednie żądanie zawierające złośliwy payload, który zostanie wykonany z uprawnieniami procesu aplikacji na poziomie systemu operacyjnego.

Skutki

Skuteczne wykorzystanie podatności umożliwia atakującemu wykonanie dowolnych poleceń systemowych na serwerze NetBox, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych konfiguracyjnych oraz zakłócenia działania infrastruktury kontroli dostępu fizycznego.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (poradnik bezpieczeństwa Carrier CARR-PSA-2024-01 oraz biuletyn CISA ICS-Advisory ICSA-24-151-01). Zaleca się aktualizację systemu LenelS2 NetBox do wersji nowszej niż 5.6.1 oraz ograniczenie dostępu do interfejsu administracyjnego wyłącznie do zaufanych sieci i autoryzowanych użytkowników.

Kogo dotyczy

Honeywell LenelS2 NetBox — wersje do 5.6.1 włącznie

Uwagi

Podatność dotyczy systemu przemysłowego klasy ICS/OT (kontrola dostępu fizycznego), co podwyższa rzeczywiste ryzyko operacyjne. Informacje opublikowane przez CISA w ramach ICS Advisory ICSA-24-151-01 w dniu 2024-05-30.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Honeywell Lenels2 Netbox

    APP
    Honeywell
    < 5.6.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-2421CRITICAL9.3PL ✓ten sam produkt

Nieuwierzytelniony RCE w Honeywell LenelS2 NetBox (command injection)

CVE-2024-2420HIGH8.8ten sam produkt

LenelS2 NetBox access control and event monitoring system was discovered to contain Hardcoded Credentials in v...

CVE-2026-3611CRITICAL10.0PL ✓ten sam vendor

Honeywell IQ4x — brak uwierzytelnienia w fabrycznym HMI (CWE-306)

CVE-2025-2605CRITICAL9.9PL ✓ten sam vendor

OS Command Injection w Honeywell MB-Secure i MB-Secure PRO (privilege abuse)

CVE-2023-5389CRITICAL9.1PL ✓ten sam vendor

Nieautoryzowana modyfikacja plików w Honeywell ControlEdge UOC i VirtualUOC