Urządzenie Crestron Automate VX udostępnia interfejs Web UI oraz API przez niezaszyfrowane porty sieciowe, co umożliwia przechwycenie wrażliwych danych, w tym haseł użytkowników. Podatność uzyskała maksymalną ocenę CVSS 10.0, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika, a jej eksploatacja jest możliwa zdalnie.
▸ Pokaż oryginał (EN)
Cleartext Transmission of Sensitive Information vulnerability in Crestron Automate VX allows Sniffing Network Traffic. The device allows Web UI and API access over non-secure network ports which exposes sensitive information such as user passwords. This issue affects Automate VX: from 5.6.8161.21536 through 6.4.0.49.
Urządzenie akceptuje połączenia do interfejsu administracyjnego Web UI oraz API przez niezabezpieczone (cleartext) porty sieciowe, bez wymuszania szyfrowania. Atakujący znajdujący się w tej samej sieci lub zdolny do podsłuchiwania ruchu sieciowego (sniffing) może przechwycić transmitowane dane w postaci jawnego tekstu. W ten sposób uzyskuje dostęp do poświadczeń użytkowników i innych wrażliwych informacji przesyłanych między klientem a urządzeniem.
Atakujący może przechwycić hasła użytkowników oraz inne wrażliwe dane, co prowadzi do nieautoryzowanego dostępu do urządzenia i potencjalnie do całej infrastruktury, którą ono obsługuje.
Należy zaktualizować oprogramowanie Crestron Automate VX do wersji 6.4.1.8 lub nowszej, dostępnej na stronie producenta pod adresem wskazanym w referencjach. Do czasu aktualizacji zaleca się izolację urządzenia w sieci oraz ograniczenie dostępu do interfejsu Web UI i API wyłącznie do zaufanych hostów poprzez reguły firewall.
Crestron Automate VX w wersjach od 5.6.8161.21536 do 6.4.0.49 włącznie.
Podatność dotyczy wersji od 5.6.8161.21536 do 6.4.0.49. Patch został udostępniony w wersji 6.4.1.8 zgodnie z referencjami producenta (https://www.crestron.com/Software-Firmware/Software/Automate-VX-Software/6-4-1-8).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X