Remote Management System
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01121
Распределение по критичности
Критический
2
Высокий
2
Средний
2
Низкий
0
Затронутые диапазоны версий
< 4.10.0
Также сопоставлено как (исходные строки): remote_management_system
Топ уязвимостей
CVE-2023-32347Версии системы удаленного управления Teltonika до 4.10.0 используют серийные номера устройств и MAC-адреса для идентификации устройств с точки зрения пользователя для заявления устройства и с точки зрения устройства для аутентификации. Если злоумышленник получит серийный номер и MAC-адрес устройства, он сможет аутентифицироваться как это устройство и украсть учетные данные связи устройства. Это может позволить злоумышленнику включить произвольное выполнение команд от имени root, используя параметры управления в рамках вновь зарегистрированных устройств.
CVE-2023-2586Система удаленного управления Teltonika версии 4.14.0 уязвима для несанкционированного злоумышленника, регистрирующего ранее незарегистрированные устройства через платформу RMS. Если пользователь не отключил «функцию управления RMS», включенную по умолчанию, злоумышленник может зарегистрировать это устройство на себя. Это может позволить злоумышленнику выполнять различные операции на устройствах пользователя, включая удаленное выполнение кода с правами «root» (используя функцию «Диспетчер задач» в RMS).
CVE-2023-2588Система удаленного управления Teltonika версии до 4.10.0 имеет функцию, позволяющую пользователям получать доступ к локальным службам Secure Shell (SSH)/веб-управления управляемых устройств через облачный прокси. Пользователь может запросить веб-прокси и получить URL-адрес в облачном поддомене системы удаленного управления. Этим URL-адресом можно поделиться с другими без аутентификации в системе удаленного управления. Злоумышленник может использовать эту уязвимость для создания вредоносной веб-страницы, использующей доверенный и сертифицированный домен. Злоумышленник может инициировать обратную оболочку, когда жертва подключается к вредоносной веб-странице, добиваясь удаленного выполнения кода на устройстве жертвы.
CVE-2023-2587Система удаленного управления Teltonika версии до 4.10.0 содержит уязвимость межсайтового скриптинга (XSS) на главной странице веб-интерфейса. Злоумышленник, имеющий MAC-адрес и серийный номер подключенного устройства, может отправить вредоносный JSON-файл с HTML-объектом для запуска уязвимости. Это может позволить злоумышленнику выполнять скрипты в контексте учетной записи и получить удаленное выполнение кода на управляемых устройствах.
CVE-2023-32348Версии системы удаленного управления Teltonika до 4.10.0 содержат функцию виртуальной частной сети (VPN) для межсоединительного обмена данными, использующую OpenVPN. Она подключает новые устройства таким образом, что новое устройство может взаимодействовать со всеми устройствами Teltonika, подключенными к VPN. Сервер OpenVPN также позволяет пользователям маршрутизировать через него. Злоумышленник может направить соединение к удаленному серверу через сервер OpenVPN, что позволит ему сканировать и получать доступ к данным с других устройств Teltonika, подключенных к VPN.
CVE-2023-32346Версии системы удаленного управления Teltonika до 4.10.0 содержат функцию, позволяющую пользователям заявлять свои устройства. Эта функция возвращает информацию о том, был ли уже заявлен серийный номер устройства, был ли уже заявлен MAC-адрес устройства или была ли успешной попытка заявить устройство. Злоумышленник может использовать это для создания списка серийных номеров и MAC-адресов всех устройств, подключенных к облаку системы удаленного управления.