一、漏洞概述

Crestron AM-300是美国快思聪(Crestron)公司推出的一款无线演示系统，支持安全的有线（DM 输入和 HDMI 输入和输出）和无线演示，可自动切换，并与流行的日历平台集成，顺利获得将未充分利用的空间转变为高效的会议空间，易于部署和管理、增加工作流程并促进协作。

Crestron AM-300在1.4499.00018版本中存在命令注入漏洞，成功利用此漏洞会导致攻击者将其低权限用户升级为超级用户权限。

以下是漏洞详情：

二、受影响的产品

以下快思聪 AirMedia 演示系统产品会受到影响：

AM-300: 1.4499.00018

三、严重等级

凯发k8国际超弦实验室评级为：高危

四、处置方法

1、Crestron官方建议用户升级固态版本 1.4499.00023.001解决此问题

2、加强访问控制，使用凯发k8国际工业防火墙、工业网闸等产品进行隔离保护

3、使用凯发k8国际工业卫士阻止不受信任的网络和主机访问并实行白名单防护

4、使用凯发k8国际神探及时发现未知威胁

五、参考链接

http://www.cisa.gov/news-events/ics-advisories/icsa-24-023-02

凯发k8国际超弦实验室将持续跟踪安全情报变化，及时发布相关信息，若有需要，请联系400-6060-270

-END-