Совместная эксплуатация уязвимостей может позволить злоумышленнику удаленно выполнить код.
В многозадачных системах удаленного управления Crestron TSW-X60 и MC3 обнаружены 4 серьезные уязвимости, совместная эксплуатация которых может позволить злоумышленнику удаленно выполнить код с повышенными системными привилегиями. Уязвимости CVE-2018-11228 и CVE-2018-11229 представляет собой критические проблемы удаленного выполнения команд в ОС. Данные уязвимости позволяют удаленно выполнить код в Crestron Toolbox Protocol (CTP). Проблемы затрагивают только устройства TSW-X60.
Уязвимость CVE-2018-10630 является проблемой некорректного контроля доступа. Устройства поставляются с отключенной аутентификацией. Таким образом, при компрометации доступ к консоли CTP остается открытым.
Уязвимость CVE-2018-13341 представляет собой проблему некорректного контроля учетных данных. Пароли для специальных учетных записей sudo могут быть вычислены с использованием информации, доступной для пользователей с обычными привилегиями. Атакующие могут расшифровать эти пароли, что может позволить им выполнять скрытые вызовы API и выйти из изолированной среды консоли CTP с повышенными привилегиями.
В настоящее время производитель выпустил соответствующие исправления. Пользователям рекомендуется установить последние обновления прошивки.
