Se han descubierto vulnerabilidades críticas de seguridad en monitor de VoIP software que, si se explota con éxito, podría permitir a los atacantes no autenticados escalar los privilegios al nivel de administrador y ejecutar comandos arbitrarios.
Tras la divulgación responsable por parte de investigadores de Kerbituna empresa de investigación de vulnerabilidades y pruebas de penetración con sede en Etiopía, el 15 de diciembre de 2021, los problemas se abordaron en versión 24.97 de WEB GUI enviado el 11 de enero de 2022.
«[F]ix vulnerabilidades críticas: nuevas inyecciones de SQL para usuarios no autenticados que permiten obtener privilegios de administrador», anotaron los mantenedores de VoIPmonitor en el registro de cambios.
VoIPmonitor es un rastreador de paquetes de red de código abierto con una interfaz comercial para los protocolos SIP RTP y RTCP VoIP que se ejecutan en Linux, lo que permite a los usuarios monitorear y solucionar problemas de calidad de las llamadas SIP VoIP, así como también decodificar, reproducir y archivar llamadas en un CDR base de datos.
Los tres defectos identificados por Kerbit están a continuación:
- CVE-2022-24259 (Puntuación CVSS: 9.8): un error de omisión de autenticación en el componente «cdr.php» de la GUI que permite a un atacante no autenticado elevar los privilegios a través de una solicitud especialmente diseñada.
- CVE-2022-24260 (Puntuación CVSS: 9.8): una vulnerabilidad de inyección de SQL que ocurre en los componentes «api.php» y «utilities.php» de la GUI que permite a los atacantes aumentar los privilegios al nivel de administrador y recuperar datos confidenciales.
- CVE-2022-24262 (Puntuación CVSS: 7,8): una ejecución remota de comandos a través de la funcionalidad de restauración de la configuración de la GUI debido a la falta de verificación de los formatos de archivo, lo que permite a un mal actor ejecutar comandos arbitrarios a través de un archivo manipulado.
«La razón principal por la que el error [is] aquí está el hecho de que se nos permite cargar cualquier extensión de archivo y que podemos acceder a los archivos cargados para que se ejecuten», dijo en un artículo el investigador de Kerbit, Daniel Eshetu, quien descubrió las fallas.