В системах управления Crestron обнаружены 4 серьезные уязвимости

image

Теги: промышленные системы, АСУ ТП, уязвимость

Совместная эксплуатация уязвимостей может позволить злоумышленнику удаленно выполнить код.

В многозадачных системах удаленного управления Crestron TSW-X60 и MC3 обнаружены 4 серьезные уязвимости, совместная эксплуатация которых может позволить злоумышленнику удаленно выполнить код с повышенными системными привилегиями.

Уязвимости CVE-2018-11228 и CVE-2018-11229 представляет собой критические проблемы удаленного выполнения команд в ОС. Данные уязвимости позволяют удаленно выполнить код в Crestron Toolbox Protocol (CTP). Проблемы затрагивают только устройства TSW-X60.

Уязвимость CVE-2018-10630 является проблемой некорректного контроля доступа. Устройства поставляются с отключенной аутентификацией. Таким образом, при компрометации доступ к консоли CTP остается открытым.

Уязвимость CVE-2018-13341 представляет собой проблему некорректного контроля учетных данных. Пароли для специальных учетных записей sudo могут быть вычислены с использованием информации, доступной для пользователей с обычными привилегиями. Атакующие могут расшифровать эти пароли, что может позволить им выполнять скрытые вызовы API и выйти из изолированной среды консоли CTP с повышенными привилегиями.

В настоящее время производитель выпустил соответствующие исправления. Пользователям рекомендуется установить последние обновления прошивки.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.