Los investigadores han revelado tres vulnerabilidades de seguridad que afectan a Pascom Cloud Phone System (CPS<\/a>) que podr\u00edan combinarse para lograr una ejecuci\u00f3n completa de c\u00f3digo remoto preautenticado de los sistemas afectados.<\/p>\n Daniel Eshetu, investigador de seguridad de Kerbit dijo<\/a> las deficiencias, cuando se encadenan juntas, pueden llevar a que “un atacante no autenticado obtenga la ra\u00edz en estos dispositivos”.<\/p>\n Pascom Cloud Phone System es una soluci\u00f3n integrada de colaboraci\u00f3n y comunicaci\u00f3n que permite a las empresas alojar y configurar redes telef\u00f3nicas privadas en diferentes plataformas, as\u00ed como facilitar la supervisi\u00f3n, el mantenimiento y las actualizaciones asociadas con los sistemas telef\u00f3nicos virtuales.<\/p>\n El conjunto de tres defectos incluye los que se derivan de un recorrido de ruta arbitrario en la interfaz web, una falsificaci\u00f3n de solicitud del lado del servidor (SSRF<\/a>) debido a una dependencia de terceros obsoleta (CVE-2019-18394<\/a>) y una inyecci\u00f3n de comando posterior a la autenticaci\u00f3n mediante un servicio daemon (“exd.pl”).<\/p>\n En otras palabras, las vulnerabilidades se pueden encadenar en forma de cadena para acceder a puntos finales no expuestos mediante el env\u00edo de solicitudes GET arbitrarias para obtener la contrase\u00f1a del administrador y luego usarla para obtener la ejecuci\u00f3n remota del c\u00f3digo mediante la tarea programada.<\/p>\n La cadena de exploits se puede usar “para ejecutar comandos como root”, dijo Eshetu, y agreg\u00f3: “esto nos da el control total de la m\u00e1quina y una manera f\u00e1cil de aumentar los privilegios”. Las fallas se informaron a Pascom el 3 de enero de 2022, luego de lo cual se lanzaron parches.<\/p>\n Se recomienda a los clientes que son CPS de alojamiento propio en lugar de en la nube que actualicen a la \u00faltima versi\u00f3n (Servidor pascom 19.21<\/a>) lo antes posible para contrarrestar cualquier amenaza potencial.<\/p>\n <\/p>\n<\/div>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Piratas-informaticos-iranies-utilizan-nuevo-malware-de-espionaje-que-abusa.png\")
<\/a><\/center><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/Se-encontraron-errores-criticos-de-RCE-en-el-sistema-de.gif\"\/)
<\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1646327406_168_Parches-criticos-emitidos-para-los-productos-Cisco-Expressway-Series-TelePresence.jpeg\")
<\/a><\/center><\/div>\n