CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-47943

Critical
Published: Translated: NVD NIST

Summary

Funkcja aktualizacji oprogramowania w interfejsie administracyjnym urządzeń Rittal IoT Interface i CMC III Processing Unit sprawdza, czy pliki łatki są podpisane przed wykonaniem skryptu run.sh. Proces podpisywania oparty jest na HMAC z długim kluczem, który jest zakodowany w oprogramowaniu i dostępny do pobrania.

Risk Assessment

Możliwość stworzenia złośliwych plików .patch, które mogą skompromitować urządzenie i umożliwić wykonanie dowolnego kodu, stwarza poważne ryzyko dla bezpieczeństwa organizacji.

Recommendation

Zaleca się ograniczenie dostępu do interfejsu administracyjnego oraz monitorowanie i weryfikację plików aktualizacji przed ich zastosowaniem.

Original NVD description (English source)

The firmware upgrade function in the admin web interface of the Rittal IoT Interface & CMC III Processing Unit devices checks if the patch files are signed before executing the containing run.sh script. The signing process is kind of an HMAC with a long string as key which is hard-coded in the firmware and is freely available for download. This allows crafting malicious "signed" .patch files in order to compromise the device and execute arbitrary code.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS