RaspberryMatic w wersjach poprzedzających 3.75.6.20240316 zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Atakujący może przejąć pełną kontrolę nad systemem z uprawnieniami root, co stanowi krytyczne zagrożenie dla infrastruktury IoT opartej na HomeMatic.
▸ Pokaż oryginał (EN)
RaspberryMatic is an open-source operating system for HomeMatic internet-of-things devices. RaspberryMatic / OCCU prior to version 3.75.6.20240316 contains a unauthenticated remote code execution (RCE) vulnerability, caused by multiple issues within the Java based `HMIPServer.jar` component. RaspberryMatric includes a Java based `HMIPServer`, that can be accessed through URLs starting with `/pages/jpages`. The `FirmwareController` class does however not perform any session id checks, thus this feature can be accessed without a valid session. Due to this issue, attackers can gain remote code execution as root user, allowing a full system compromise. Version 3.75.6.20240316 contains a patch.
Podatność wynika z dwóch powiązanych problemów w komponencie `HMIPServer.jar` napisanym w Javie. Klasa `FirmwareController`, dostępna pod ścieżkami URL zaczynającymi się od `/pages/jpages`, nie przeprowadza żadnej weryfikacji identyfikatora sesji (brak kontroli uwierzytelnienia, CWE-306). Dodatkowo występuje podatność typu path traversal (CWE-23), która w połączeniu z brakiem uwierzytelnienia pozwala atakującemu na zdalne wykonanie kodu jako użytkownik root bez posiadania ważnej sesji.
Atakujący uzyskuje możliwość zdalnego wykonania dowolnego kodu z uprawnieniami root, co prowadzi do pełnego przejęcia systemu, w tym dostępu do danych, modyfikacji konfiguracji oraz potencjalnego przejęcia kontroli nad podłączonymi urządzeniami IoT HomeMatic.
Należy zaktualizować RaspberryMatic do wersji 3.75.6.20240316 lub nowszej, która zawiera patch eliminujący opisane podatności. Patch dostępny jest w repozytorium projektu na GitHub.
RaspberryMatic / OCCU we wszystkich wersjach poprzedzających 3.75.6.20240316
Podatność została opublikowana wraz z advisory na GitHub Security Advisories (GHSA-q967-q4j8-637h). Patch wydano 16 marca 2024 roku (wersja 3.75.6.20240316), a CVE opublikowano 18 marca 2024.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HRaspberrymatic
OSRaspberrymatic< 3.75.6.20240316