Los investigadores han revelado tres vulnerabilidades de seguridad que afectan a Pascom Cloud Phone System (CPS) que podrían combinarse para lograr una ejecución completa de código remoto preautenticado de los sistemas afectados.
Daniel Eshetu, investigador de seguridad de Kerbit dijo las deficiencias, cuando se encadenan juntas, pueden llevar a que «un atacante no autenticado obtenga la raíz en estos dispositivos».
Pascom Cloud Phone System es una solución integrada de colaboración y comunicación que permite a las empresas alojar y configurar redes telefónicas privadas en diferentes plataformas, así como facilitar la supervisión, el mantenimiento y las actualizaciones asociadas con los sistemas telefónicos virtuales.
El conjunto de tres defectos incluye los que se derivan de un recorrido de ruta arbitrario en la interfaz web, una falsificación de solicitud del lado del servidor (SSRF) debido a una dependencia de terceros obsoleta (CVE-2019-18394) y una inyección de comando posterior a la autenticación mediante un servicio daemon («exd.pl»).
En otras palabras, las vulnerabilidades se pueden encadenar en forma de cadena para acceder a puntos finales no expuestos mediante el envío de solicitudes GET arbitrarias para obtener la contraseña del administrador y luego usarla para obtener la ejecución remota del código mediante la tarea programada.
La cadena de exploits se puede usar «para ejecutar comandos como root», dijo Eshetu, y agregó: «esto nos da el control total de la máquina y una manera fácil de aumentar los privilegios». Las fallas se informaron a Pascom el 3 de enero de 2022, luego de lo cual se lanzaron parches.
Se recomienda a los clientes que son CPS de alojamiento propio en lugar de en la nube que actualicen a la última versión (Servidor pascom 19.21) lo antes posible para contrarrestar cualquier amenaza potencial.