Các lỗi RCE nghiêm trọng được tìm thấy trong Hệ thống điện thoại đám mây Pascom được các doanh nghiệp sử dụng

Hệ thống điện thoại đám mây Pascom

Các nhà nghiên cứu đã tiết lộ ba lỗ hổng bảo mật ảnh hưởng đến Hệ thống điện thoại đám mây Pascom (CPS) có thể được kết hợp để đạt được toàn bộ quá trình thực thi mã từ xa được trước của các hệ thống bị ảnh hưởng.

Nhà nghiên cứu bảo mật của Kerbit, Daniel Eshetu cho biết những thiếu sót, khi được xâu chuỗi lại với nhau, có thể dẫn đến “kẻ tấn công không được xác thực chiếm được quyền root trên các thiết bị này.”

Hệ thống điện thoại đám mây Pascom là một giải pháp liên lạc và cộng tác tích hợp cho phép các doanh nghiệp lưu trữ và thiết lập mạng điện thoại riêng trên các nền tảng khác nhau cũng như tạo điều kiện thuận lợi cho việc giám sát, bảo trì và cập nhật liên quan đến hệ thống điện thoại ảo.

Bộ ba lỗ hổng bao gồm những lỗ hổng bắt nguồn từ việc truyền qua đường dẫn tùy ý trong giao diện web, giả mạo yêu cầu phía máy chủ (SSRF) do phụ thuộc bên thứ ba đã lỗi thời (CVE-2019-18394) và chèn lệnh sau xác thực sử dụng dịch vụ daemon (“exd.pl”).

Nói cách khác, các lỗ hổng có thể được xâu chuỗi theo kiểu chuỗi để truy cập các điểm cuối không bị lộ bằng cách gửi các yêu cầu GET tùy ý để lấy mật khẩu quản trị viên, sau đó sử dụng nó để thực thi mã từ xa bằng tác vụ đã lên lịch.

Xem tiếp:   Một số gia đình phần mềm độc hại sử dụng dịch vụ trả tiền cho mỗi lần cài đặt để mở rộng mục tiêu của họ

Eshetu cho biết thêm, chuỗi khai thác có thể được sử dụng “để thực thi các lệnh với tư cách root”, điều này cho phép chúng tôi toàn quyền kiểm soát máy và một cách dễ dàng để . ” Các lỗ hổng đã được báo cáo cho Pascom vào ngày 3 tháng 1 năm 2022, sau đó các bản vá lỗi đã được phát hành.

Những khách hàng đang tự lưu trữ CPS thay vì trên đám mây nên cập nhật lên phiên bản mới nhất (pascom Server 19.21) càng sớm càng tốt để chống lại mọi mối đe dọa tiềm ẩn.

.

Related Posts

Check Also

Gần 100.000 thông tin đăng nhập của người dùng NPM bị đánh cắp trong GitHub OAuth Vi phạm

Dịch vụ lưu trữ kho lưu trữ dựa trên đám mây GitHub hôm thứ Sáu …