複数の脆弱性がプレゼンテーション製品で発見
Tenable Researchは、CrestronのAM-100プレゼンテーションデバイスプラットフォームに影響を及ぼす複数の脆弱性を発見しました。これらのうちの2件は、他のいくつかのプラットフォームにも影響を与えます。(Barco wePresent、ExtronShareLink、InFocus LiteShow、TEQ AV IT WIPS710)
背景
Jacob Bainesは、Crestron AM-100 AirMediaプレゼンテーションゲートウェイの調査中に、このデバイスが他のいくつかのプレゼンテーションプラットフォームとコードベースを共有していることを発見しました。また、彼はCrestron AM-100バージョン1.6.0.2とAM-101バージョン2.7.0.2に15件の脆弱性を発見しました。これらの脆弱性のうち2件(CVE-2019-3929、CVE-2019-3930)は、以下にも存在します。
- Barco wePresent WiPG-1000ファームウェア2.3.0.10
- Barco wePresent WiPG-1600ファームウェア2.4.1.19以前
- Extron ShareLink 200/250ファームウェア2.0.3.4
- Teq AV ITWIPS710ファームウェア1.1.0.7
- InFocus LiteShow3ファームウェア1.0.16
- SHARP PN-L703WAファームウェアバージョン1.4.2.3
- Optoma WPS-Proファームウェアバージョン1.0.0.5
- Blackbox HD WPSファームウェアバージョン1.0.0.5
- InFocus LiteShow4 2.0.0.7
このリストのデバイスは、Crestronが2018年にパッチを当てたCVE-2017-16709にも脆弱です。
分析
これらの脆弱性の調査中に、Bainesはこの共有コードベースで約1,600台のデバイスがインターネットに公開されていることを発見しました。また、彼は多くのデバイスがアップデートされていないことを発見しました。この調査結果の詳細は、Tenable Tech Blogからご覧いただけます。Crestron AM-100およびAM-101の脆弱性の詳細はTenable Researchアドバイザリに記載されています。
CVE-2019-3929:HTTPを介した認証を必要としないリモートコマンドインジェクション
これは最も深刻な脆弱性であり、リストされているすべてのデバイスに存在しています。リモートの認証されていない攻撃者は、HTTPエンドポイントfile_transfer.cgiへの巧妙に細工された要求を介して、rootとしてオペレーティングシステムのコマンドを実行することができます。これにより、プレゼンテーションデバイスに表示されているものすべてを見ることができ、さらに重要なことには、プレゼンテーションデバイスが内部ネットワークへの足掛けとして使用される可能性があります。また、プレゼンターがデバイスに接続するためにダウンロードする必要があるクライアントソフトウェアを悪意のあるソフトウェアと置き換え、プレゼンターのデバイスにアクセスされる可能性もあります。
ベンダー応答
Tenable Researchは、影響を受けるすべてのベンダーと調整するように試みています。Barcoは、プラットフォームに影響を与える脆弱性に対処するためにファームウェアバージョン2.3.08をリリースしました。Extronは、自社のプラットフォームに影響を与える脆弱性に対処するためにファームウェアバージョン2.3.08をリリースしました。5月1日更新: Crestronはこれらの脆弱性に関するセキュリティアドバイザリを公開し、緩和策についての詳細や修正のリリースなどの情報を提供しています。記載されている他のベンダーのデバイスを導入している場合は、詳細について直接デバイスに問い合わせることをお勧めします。
ソリューション
デバイスが完全にアップデートされており、インターネットに公開されていないことを確認してください。
TenableはCVE-2019-3929をテストするためのエクスプロイトプラグインを開発しました。
追加情報
これらの脆弱性を発見した研究者Jacob Bainesの研究に関する詳細情報は、Tenable Tech Blog on Mediumからご覧ください。
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
Volt Typhoon: What State and Local Government Officials Need to Know
Increased activity from the state-sponsored threat group Volt Typhoon raises concerns about the cybersecurity of U.S. critical infrastructure. Here’s how you can identify potential exposures and attack paths....
Cybersecurity Snapshot: Guide Unpacks Event-Logging Best Practices, as FAA Proposes Stronger Cyber Rules for Airplanes
Looking to sharpen your team’s event logging and threat detection? A new guide offers plenty of best practices. Plus, the FAA wants airplanes to be more resilient to cyberattacks. Meanwhile, check out the critical vulnerabilities Tenable discovered in two Microsoft AI products. And get the latest on...
Detecting Risky Third-party Drivers on Windows Assets
Kernel-mode drivers are critical yet risky components of the Windows operating system. Learn about their functionality, the dangers they pose, and how Tenable's new plugins can help identify and mitigate vulnerabilities using community-driven resources like LOLDrivers....
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning