Kritik güvenlik açıkları ortaya çıkarıldı VoIPmonitör Başarıyla kullanılırsa, kimliği doğrulanmamış saldırganların ayrıcalıkları yönetici düzeyine yükseltmesine ve rastgele komutlar yürütmesine izin verebilecek yazılım.
Araştırmacılar tarafından sorumlu açıklamanın ardından KerbitEtiyopya merkezli bir sızma testi ve güvenlik açığı araştırma firması olan , 15 Aralık 2021’de sorunlar şurada ele alındı: sürüm 24.97 11 Ocak 2022’de gönderilen WEB GUI’nin
“[F]ix kritik güvenlik açıkları – kimliği doğrulanmamış kullanıcılar için yönetici ayrıcalıkları kazanmaya izin veren yeni SQL enjeksiyonları”, VoIPmonitor’un koruyucuları değişiklik günlüğünde belirtti.
VoIPmonitor, Linux üzerinde çalışan SIP RTP ve RTCP VoIP protokolleri için ticari ön yüze sahip, açık kaynaklı bir ağ paket dinleyicisidir ve kullanıcıların SIP VoIP aramalarının kalitesini izlemesine ve sorun gidermesinin yanı sıra aramaları bir CDR veri tabanı.
Kerbit tarafından tanımlanan üç kusur aşağıdadır –
- CVE-2022-24259 (CVSS puanı: 9.8) – GUI’nin “cdr.php” bileşeninde, kimliği doğrulanmamış bir saldırganın özel hazırlanmış bir istek aracılığıyla ayrıcalıkları yükseltmesine olanak tanıyan bir kimlik doğrulama atlama hatası.
- CVE-2022-24260 (CVSS puanı: 9.8) – GUI’nin “api.php” ve “utilities.php” bileşenlerinde meydana gelen ve saldırganların ayrıcalıkları yönetici düzeyine yükseltmesine ve hassas verileri almasına olanak tanıyan bir SQL enjeksiyon güvenlik açığı.
- CVE-2022-24262 (CVSS puanı: 7.8) – Arşiv dosyası formatları için eksik bir kontrol nedeniyle GUI’nin yapılandırma geri yükleme işlevi aracılığıyla bir uzaktan komut yürütmesi, kötü bir oyuncunun hazırlanmış bir dosya aracılığıyla rastgele komutlar yürütmesine izin verir.
“Böceğin ana nedeni [is] Hataları keşfeden Kerbit araştırmacısı Daniel Eshetu, bir yazısında, herhangi bir dosya uzantısını yüklememize izin verildiği ve yüklenen dosyalara onları yürütmelerini sağlamak için erişebileceğimiz gerçeğidir” dedi.