Kritieke beveiligingsbugs ontdekt in VoIPmonitor-bewakingssoftware

Kritieke beveiligingsproblemen zijn ontdekt in VoIP-monitor software die, indien succesvol misbruikt, niet-geverifieerde aanvallers in staat zou kunnen stellen privileges te escaleren naar het beheerdersniveau en willekeurige opdrachten uit te voeren.

Na verantwoorde openbaarmaking door onderzoekers van Kerbit, een in Ethiopië gevestigd onderzoeksbureau voor penetratietesten en kwetsbaarheid, werden op 15 december 2021 de problemen aangepakt in versie 24.97 van de WEB GUI verzonden op 11 januari 2022.

"[F]ix kritieke kwetsbaarheden - nieuwe SQL-injecties voor niet-geverifieerde gebruikers waardoor beheerdersrechten kunnen worden verkregen", noteerden de beheerders van VoIPmonitor in het wijzigingslogboek.

VoIPmonitor is een open-source netwerkpakketsniffer met commerciële frontend voor SIP RTP- en RTCP VoIP-protocollen die op Linux draaien, waardoor gebruikers de kwaliteit van SIP VoIP-oproepen kunnen bewaken en problemen kunnen oplossen, en oproepen kunnen decoderen, afspelen en archiveren in een CDR database.

De drie fouten die door Kerbit zijn geïdentificeerd, staan hieronder:

CVE-2022-24259 (CVSS-score: 9.8) – Een authenticatie-bypass-bug in de “cdr.php”-component van de GUI die een niet-geverifieerde aanvaller in staat stelt om privileges te verhogen via een speciaal vervaardigd verzoek.
CVE-2022-24260 (CVSS-score: 9.8) – Een kwetsbaarheid voor SQL-injectie die optreedt in de componenten "api.php" en "utilities.php" van de GUI, waardoor aanvallers bevoegdheden kunnen escaleren naar het beheerdersniveau en gevoelige gegevens kunnen ophalen.
CVE-2022-24262 (CVSS-score: 7.8) – Uitvoering van een opdracht op afstand via de configuratieherstelfunctie van de GUI vanwege een ontbrekende controle op archiefbestandsindelingen, waardoor een kwaadwillende persoon willekeurige opdrachten kan uitvoeren via een vervaardigd bestand.

"De belangrijkste reden dat de bug hier [is], is het feit dat we elke bestandsextensie mogen uploaden en dat we de geüploade bestanden kunnen bereiken om ze uit te voeren", zei Kerbit-onderzoeker Daniel Eshetu, die de fouten ontdekte, in een opschrift.

Generatieve data-intelligentie

Kritieke beveiligingsbugs ontdekt in VoIPmonitor Monitoring Software

Carlie Hanson brengt hulde met haar oprechte cover van Alice In Chains' 'Nutshell'

Hyundai gaat meer hybrides bouwen om de afnemende vraag naar elektrische voertuigen aan te vullen – Autoblog

Laatste intelligentie

Drake bedreigd met rechtszaak over Tupac AI-zang

Exclusieve Trump Bitcoin NFT's met aangepaste rangtelwoorden voor kopers van 'Mugshot Edition' - CryptoInfoNet

Bedrijf biedt digitale financiële geletterdheidstraining voor Nigerianen - CryptoInfoNet

BDAG leidt de top 5 van veelbelovende crypto-voorverkoop van 2024

Hoe u het marktsentiment kunt beoordelen voordat u cryptocurrency koopt

BlockDAG's liquiditeits- en vestingperiode van $ 100 miljoen te midden van SOL-netwerkproblemen en DOT-prijsvoorspellingen