В системах управления Crestron обнаружены 4 серьезные уязвимости

В системах управления Crestron обнаружены 4 серьезные уязвимости

Совместная эксплуатация уязвимостей может позволить злоумышленнику удаленно выполнить код.

image

В многозадачных системах удаленного управления Crestron TSW-X60 и MC3 обнаружены 4 серьезные уязвимости, совместная эксплуатация которых может позволить злоумышленнику удаленно выполнить код с повышенными системными привилегиями.

Уязвимости CVE-2018-11228 и CVE-2018-11229 представляет собой критические проблемы удаленного выполнения команд в ОС. Данные уязвимости позволяют удаленно выполнить код в Crestron Toolbox Protocol (CTP). Проблемы затрагивают только устройства TSW-X60.

Уязвимость CVE-2018-10630 является проблемой некорректного контроля доступа. Устройства поставляются с отключенной аутентификацией. Таким образом, при компрометации доступ к консоли CTP остается открытым.

Уязвимость CVE-2018-13341 представляет собой проблему некорректного контроля учетных данных. Пароли для специальных учетных записей sudo могут быть вычислены с использованием информации, доступной для пользователей с обычными привилегиями. Атакующие могут расшифровать эти пароли, что может позволить им выполнять скрытые вызовы API и выйти из изолированной среды консоли CTP с повышенными привилегиями.

В настоящее время производитель выпустил соответствующие исправления. Пользователям рекомендуется установить последние обновления прошивки.


Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.