CVE-2019-3929

Crestron Multiple Products

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-04-15

Официальное описание

Multiple Crestron products are vulnerable to command injection via the file_transfer.cgi HTTP endpoint. A remote, unauthenticated attacker can use this vulnerability to execute operating system commands as root.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в файле file_transfer.cgi позволяет удаленному злоумышленнику без аутентификации выполнить инъекцию команд ОС через специально сформированные HTTP-запросы. В результате атакующий может выполнить произвольные команды с правами пользователя root на уязвимом устройстве Crestron.

Как исправить

Установите обновление прошивки от Crestron, устраняющее эту уязвимость. Требуемая версия зависит от конкретной модели устройства. Проверьте свою модель на портале поддержки Crestron.

  1. Определите текущую версию прошивки вашего устройства через веб-интерфейс или консоль управления.
  2. Перейдите на официальный портал поддержки Crestron: https://www.crestron.com/Support/Software-Drivers
  3. Найдите свою модель продукта и загрузите последнюю версию прошивки, в описании которой указано исправление для CVE-2019-3929.
  4. Установите обновление, следуя официальной инструкции Crestron для вашего устройства.

Пример для некоторых устройств серии DM: Требуется обновление до версии прошивки 1.8.0.2 или выше. Процесс обновления обычно выполняется через веб-интерфейс устройства в разделе System Settings > Firmware Update.

Временное решение

Если немедленное обновление невозможно, выполните следующие действия для снижения риска:

  1. Ограничьте сетевой доступ: Настройте правила межсетевого экрана (firewall) так, чтобы доступ к веб-интерфейсу устройства Crestron (обычно порты TCP/80 и TCP/443) был возможен только с доверенных IP-адресов (например, с сети администраторов). bash # Пример для iptables (Linux-шлюз), разрешающий доступ только с сети 10.1.1.0/24 iptables -A FORWARD -p tcp --dport 80 -d <IP_устройства_Crestron> -s 10.1.1.0/24 -j ACCEPT iptables -A FORWARD -p tcp --dport 443 -d <IP_устройства_Crestron> -s 10.1.1.0/24 -j ACCEPT iptables -A FORWARD -p tcp --dport 80,443 -d <IP_устройства_Crestron> -j DROP

  2. Используйте WAF: Настройте Web Application Firewall (например, ModSecurity) на прокси-сервере перед устройством для блокировки запросов, содержащих шаблоны инъекций команд в параметры CGI.

  3. Отключите неиспользуемые интерфейсы: Если устройству не требуется доступ из внешних сетей (Интернет), убедитесь, что оно находится в изолированной внутренней сети (VLAN) без маршрутизации извне.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей