DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice

Новость В платформе TRMS Carousel обнаружен ряд серьезных уязвимостей

Apollon

Ветеран

Apollon

Ветеран
Статус
Offline
Регистрация
21 Апр 2018
Сообщения
892
Реакции
3
Покупки через Гарант
0
Продажи через Гарант
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Исследователь в области кибербезопасности Дрю Грин (Drew Green)обнаружил серьезные уязвимости в ПО для цифровых вывесок, разработанном американской компанией Tightrope Media Systems (TRMS), позволяющие загружать на сервер файлы и выполнять произвольный код.


Первая проблема заключалась в использовании установленного по умолчанию пароля администратора, благодаря чему исследователь смог легко получить доступ к системе. Данной уязвимости присвоен идентификатор CVE-2018-18929. Далее эксперт воспользовался уязвимостью CVE-2018-14573 в API RenderingFetch, позволяющей прочитать сохраненные на сервере файлы. Информацию об этой проблеме Грин нашел в интернете.


Система позволяет пользователям загружать на сервер ZIP-архивы с файлами, которые затем передаются на трансляцию. Грину удалось загрузить ZIP-архив с двумя вредоносными файлами и выполнить команды через web-шелл.


Далее исследователь загрузил файл Powershell, позволивший загрузить произвольные файлы и удаленно выполнить код (уязвимость получила идентификатор CVE-2018-18930). Еще одна уязвимость (CVE-2018-18931) позволила эксперту повысить привилегии учетной записи до уровня администратора.

По словам исследователя, он передал свои находки разработчикам из Tightrope Media Systems в ноябре 2018 года. В компании заявили, что проблемы были исправлены в последней версии Carousel, но не попросили подробностей об уязвимостях. Спустя 90 дней Грин опубликовал свое исследование.


4 февраля на сайте платформы Сarousel появилась информация о подготовке к выходу исправленных в последней версии уязвимостей, которые будут доступны к 8 февраля.


Программа Carousel от Tightrope Media Systems позволяет централизованно управлять трансляцией мультимедиа на множестве экранов. Компания предоставляет сервисы для образовательных и коммерческих организаций.
 
Сверху