CRITICAL🇬🇧 English

CVE-2024-2421

Nieuwierzytelniony RCE w Honeywell LenelS2 NetBox (command injection)

CVSS 9.3v4.0pub. 2024-05-30upd. 2026-02-02

W systemie kontroli dostępu i monitorowania zdarzeń LenelS2 NetBox wykryto krytyczną podatność typu command injection umożliwiającą nieuwierzytelnione zdalne wykonanie kodu. Atakujący bez żadnych uprawnień może wykonać złośliwe polecenia z podwyższonymi uprawnieniami na podatnym urządzeniu.

Pokaż oryginał (EN)

LenelS2 NetBox access control and event monitoring system was discovered to contain an unauthenticated RCE in versions prior to and including 5.6.1, which allows an attacker to execute malicious commands with elevated permissions.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-78 (OS Command Injection) pozwala nieuprawnionemu atakującemu na wstrzyknięcie i wykonanie dowolnych poleceń systemowych poprzez sieć, bez konieczności uwierzytelnienia. Złośliwe polecenia są wykonywane z podwyższonymi uprawnieniami, co oznacza, że atakujący uzyskuje szeroki dostęp do systemu operacyjnego urządzenia. Brak wymagania interakcji po stronie użytkownika oraz brak konieczności spełnienia specjalnych warunków wstępnych czyni tę podatność szczególnie groźną w środowiskach sieciowych.

Skutki

Atakujący może przejąć pełną kontrolę nad systemem LenelS2 NetBox, wykonując dowolne polecenia z podwyższonymi uprawnieniami, co może prowadzić do naruszenia poufności, integralności i dostępności systemu kontroli dostępu oraz monitorowania zdarzeń.

Mitygacja

Należy niezwłocznie zaktualizować system LenelS2 NetBox do wersji wyższej niż 5.6.1. Szczegółowe instrukcje dostępne są w poradniku producenta (CARR-PSA-2024-01) oraz w komunikacie ICS-CERT ICSA-24-151-01. Do czasu wdrożenia patcha zaleca się izolację urządzenia od niezaufanych segmentów sieci oraz ograniczenie dostępu sieciowego do systemu za pomocą firewall.

Kogo dotyczy

Honeywell LenelS2 NetBox w wersjach do 5.6.1 włącznie (prior to and including 5.6.1)

Uwagi

Podatność dotyczy systemu przemysłowego klasy ICS (kontrola dostępu fizycznego), co zostało potwierdzone przez ostrzeżenie CISA ICS-CERT (ICSA-24-151-01). Kompromitacja systemu może mieć konsekwencje wykraczające poza środowisko IT, obejmując bezpieczeństwo fizyczne chronionego obiektu.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Honeywell Lenels2 Netbox

    APP
    Honeywell
    < 5.6.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2024-2422CRITICAL9.3PL ✓ten sam produkt

Uwierzytelniony RCE w LenelS2 NetBox (wersje do 5.6.1 włącznie)

CVE-2024-2420HIGH8.8ten sam produkt

LenelS2 NetBox access control and event monitoring system was discovered to contain Hardcoded Credentials in v...

CVE-2026-3611CRITICAL10.0PL ✓ten sam vendor

Honeywell IQ4x — brak uwierzytelnienia w fabrycznym HMI (CWE-306)

CVE-2025-2605CRITICAL9.9PL ✓ten sam vendor

OS Command Injection w Honeywell MB-Secure i MB-Secure PRO (privilege abuse)

CVE-2023-5389CRITICAL9.1PL ✓ten sam vendor

Nieautoryzowana modyfikacja plików w Honeywell ControlEdge UOC i VirtualUOC