Security Advisory

Generex RCCMDTray Remote OS Command Execution

Das RCCMDTray Tool erlaubt unauthentifizierten Angreifern das Ausführen von beliebigen Betriebssystem-Befehlen.

Advisory ID: MLSA-2025-002
CVE: none
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Kritikalität: high
Betroffene Versionen: RCCMD Version 4.65.12 250210 / UPSMAN Version 6.35 250319 / RCCMD-Tray Version 1.0.1.2 (ältere Versionen sind ebenfalls betroffen)
Behoben in: RCCMD Version 4.68 250623 / UPSMAN version 6.35 250708
Gefunden von: Hans-Martin Münch

Produktbeschreibung (englisch)

RCCMD (Remote Control Command) is used all over the world, wherever a flexible software solution is required for an emergency shutdown. RCCMD runs independently of the platform and can connect physical machines with fully virtualized environments to ensure a structured shutdown.

UPSMAN is the ultimate UPS shutdown management control software for your server The UPSMan software is used on computers in the UPS-related sector that are directly connected to the UPS via USB or a serial network port.

Details

Die Windows-Installation von RCCMD / UPSMAN enthält ein Dienstprogramm namens RCCMDTray, welches bei der Anmeldung eines Benutzers gestart wird. Seine Aufgabe besteht darin, Nachrichten vom RCCMD-Dienst zu empfangen und sie dem aktuell angemeldeten Benutzer anzuzeigen.

Wenn RCCMDTray aktiv ist, öffnet es einen TCP-Dienst auf Port 641, der auf eingehende Nachrichten wartet. Dieser Dienst ist nicht auf localhost beschränkt und über das Netzwerk erreichbar.

Das vom Dienst verwendete Protokoll ist sehr einfach und verfügt über keinerlei Authentifizierung. Entscheidend ist, dass es die Ausführung beliebiger Betriebssystembefehle im Kontext des aktuell angemeldeten Benutzers ermöglicht.

Das folgende Proof-of-Concept (PoC) demonstriert die Ausführung von Befehlen durch Starten des Windows-Rechners (‘calc.exe’). Es verwendet das Unix-Befehlszeilentool netcat (nc), zur Übertragung der Payload:

echo 'RCCMD|10|"calc.exe"|' | nc TARGET_IP 961

Diese Schwachstelle kann nur ausgenutzt werden, solange ein Benutzer aktiv im System angemeldet ist. Falls das nicht der Fall ist, wird RCCMDTray nicht ausgeführt und der Netzwerkdienst ist nicht erreichbar.

Die Installationsroutine für RCCMD / UPSMAN fügt eine Regel zum lokalen Firewall-Regelwerk hinzu, sodass der Dienst auch dann erreichbar ist, wenn eine lokale Firewall verwendet wird.

Workarounds

  • Sperren Sie den Remote-Zugriff auf den Dienst über die lokale Firewall
  • Entfernen Sie RCCMDTray aus dem Windows-Autostart (HKLM-Registrierungsschlüssel)

Coordinated Disclosure Zeitverlauf

  • 12/05/2025 Senden des Schwachstellenreports an das Generex Security Team
  • 19/05/2025 Antwort von Generex, Bestätigung der Schwachstelle
  • 09/07/2025 Meldung von Generex, der Zugriff wurde in der aktuellen Version von RCCMD eingeschränkt, das Update von UPSMAN stehe noch aus
  • 25/07/2025 Generex veröffentlicht neue Version von UPSMAN
  • 04/08/2025 MOGWAI LABS bemerkt das eine neue Version von UPSMAN verfübar ist. Veröffentlichung des Advisories