Các lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong phần mềm VoIPmonitor, nếu khai thác thành công, có thể cho phép những kẻ tấn công chưa được xác thực nâng cấp đặc quyền lên cấp quản trị viên và thực hiện các lệnh tùy ý.
Sau tiết lộ có trách nhiệm của các nhà nghiên cứu từ Kerbit, một công ty nghiên cứu lỗ hổng và thử nghiệm thâm nhập có trụ sở tại Ethiopia, vào ngày 15 tháng 12 năm 2021, các vấn đề đã được giải quyết trong phiên bản 24.97 của WEB GUI được xuất xưởng vào ngày 11 tháng 1 năm 2022.
“[F]ix lỗ hổng nghiêm trọng – SQL mới đưa vào cho những người dùng chưa được xác thực cho phép đạt được đặc quyền quản trị viên “, những người duy trì VoIPmonitor lưu ý trong nhật ký thay đổi.
VoIPmonitor là một trình kiểm tra gói mạng mã nguồn mở với giao diện thương mại cho các giao thức SIP RTP và RTCP VoIP chạy trên Linux, cho phép người dùng theo dõi và khắc phục sự cố chất lượng của các cuộc gọi SIP VoIP cũng như giải mã, phát và lưu trữ các cuộc gọi trong cơ sở dữ liệu CDR.
Ba lỗ hổng được xác định bởi Kerbit là dưới đây:
CVE-2022-24259 (Điểm CVSS: 9,8) – Một lỗi bỏ qua xác thực trong thành phần “cdr.php” của GUI cho phép kẻ tấn công chưa được xác thực nâng cao đặc quyền thông qua một yêu cầu đặc biệt.CVE-2022-24260 (Điểm CVSS: 9,8) – Lỗ hổng SQL injection xảy ra trong các thành phần “api.php” và “domains.php” của GUI cho phép kẻ tấn công nâng cấp đặc quyền lên cấp quản trị viên và truy xuất dữ liệu nhạy cảm.CVE-2022-24262 (Điểm CVSS: 7.8) – Thực hiện lệnh từ xa thông qua chức năng khôi phục cấu hình của GUI do thiếu kiểm tra định dạng tệp lưu trữ, cho phép kẻ xấu thực hiện các lệnh tùy ý thông qua tệp được tạo.
“Lý do chính mà lỗi [is] thực tế là chúng tôi được phép tải lên bất kỳ phần mở rộng tệp nào và chúng tôi có thể tiếp cận các tệp đã tải lên để chúng thực thi “, nhà nghiên cứu Daniel Eshetu của Kerbit, người đã phát hiện ra lỗ hổng, cho biết trong một bài viết.
.
