Onderzoekers hebben drie beveiligingsproblemen onthuld die van invloed zijn op het Pascom Cloud Phone System (CPS) die kunnen worden gecombineerd om een volledig vooraf geverifieerde uitvoering van externe code van getroffen systemen te bereiken.
Kerbit-beveiligingsonderzoeker Daniel Eshetu zei de tekortkomingen, wanneer ze aan elkaar worden geketend, kunnen ertoe leiden dat “een niet-geverifieerde aanvaller wortel schiet op deze apparaten.”
Pascom Cloud Phone System is een geïntegreerde oplossing voor samenwerking en communicatie waarmee bedrijven particuliere telefoonnetwerken op verschillende platforms kunnen hosten en opzetten, en waarmee de bewaking, het onderhoud en de updates van de virtuele telefoonsystemen kunnen worden vergemakkelijkt.
De set van drie fouten omvat fouten die het gevolg zijn van een willekeurig pad in de webinterface, een vervalsing van verzoeken aan de serverzijde (SSRF) vanwege een verouderde afhankelijkheid van derden (CVE-2019-18394), en een commando-injectie na authenticatie met behulp van een daemon-service (“exd.pl”).
Met andere woorden, de kwetsbaarheden kunnen op een kettingachtige manier worden gekoppeld om toegang te krijgen tot niet-blootgestelde eindpunten door willekeurige GET-verzoeken te verzenden om het beheerderswachtwoord te verkrijgen, en dit vervolgens te gebruiken om externe code-uitvoering te verkrijgen met behulp van de geplande taak.
De exploitketen kan worden gebruikt “om commando’s als root uit te voeren”, zei Eshetu, eraan toevoegend: “dit geeft ons volledige controle over de machine en een gemakkelijke manier om privileges te escaleren.” De gebreken zijn op 3 januari 2022 aan Pascom gemeld, waarna patches zijn uitgebracht.
Klanten die CPS zelf hosten in plaats van in de cloud, wordt geadviseerd om te updaten naar de nieuwste versie (pascom Server 19.21) zo snel mogelijk om mogelijke bedreigingen het hoofd te bieden.
