Des failles de sécurité critiques ont été découvertes dans Moniteur VoIP logiciel qui, s’il est exploité avec succès, pourrait permettre à des attaquants non authentifiés d’élever les privilèges au niveau administrateur et d’exécuter des commandes arbitraires.
À la suite d’une divulgation responsable par des chercheurs de Kerbitune société éthiopienne de tests d’intrusion et de recherche sur la vulnérabilité, le 15 décembre 2021, les problèmes ont été résolus dans version 24.97 de l’interface graphique WEB livrée le 11 janvier 2022.
« [F]ix vulnérabilités critiques – de nouvelles injections SQL pour les utilisateurs non authentifiés permettant d’obtenir des privilèges d’administrateur », ont noté les responsables de VoIPmonitor dans le journal des modifications.
VoIPmonitor est un renifleur de paquets réseau open source avec une interface commerciale pour les protocoles SIP RTP et RTCP VoIP fonctionnant sous Linux, permettant aux utilisateurs de surveiller et de dépanner la qualité des appels SIP VoIP ainsi que de décoder, lire et archiver les appels dans un CDR base de données.
Les trois failles identifiées par Kerbit sont ci-dessous –
- CVE-2022-24259 (Score CVSS : 9,8) – Un bogue de contournement d’authentification dans le composant « cdr.php » de l’interface graphique qui permet à un attaquant non authentifié d’élever des privilèges via une requête spécialement conçue.
- CVE-2022-24260 (Score CVSS : 9,8) – Une vulnérabilité d’injection SQL qui se produit dans les composants « api.php » et « utilities.php » de l’interface graphique et qui permet aux attaquants d’élever les privilèges au niveau administrateur et de récupérer des données sensibles.
- CVE-2022-24262 (Score CVSS : 7,8) – Une exécution de commande à distance via la fonctionnalité de restauration de la configuration de l’interface graphique en raison d’une vérification manquante des formats de fichier d’archive, permettant à un acteur malveillant d’exécuter des commandes arbitraires via un fichier spécialement conçu.
« La principale raison pour laquelle le bogue [is] voici le fait que nous sommes autorisés à télécharger n’importe quelle extension de fichier et que nous pouvons accéder aux fichiers téléchargés pour les faire exécuter », a déclaré le chercheur de Kerbit Daniel Eshetu, qui a découvert les failles, dans un article.