Cyber Security Aktuell

Kritische RCE-Bugs in Pascom Cloud-Telefonsystem gefunden, das von Unternehmen verwendet wird

Forscher haben drei Sicherheitslücken offengelegt, die das Pascom Cloud Phone System betreffen (CPS), die kombiniert werden könnten, um eine vollständige vorauthentifizierte Remote-Code-Ausführung betroffener Systeme zu erreichen.

Kerbit-Sicherheitsforscher Daniel Eshetu genannt Die Mängel können, wenn sie miteinander verkettet sind, dazu führen, dass „ein nicht authentifizierter Angreifer auf diesen Geräten Wurzeln schlägt“.

Pascom Cloud Phone System ist eine integrierte Kollaborations- und Kommunikationslösung, die es Unternehmen ermöglicht, private Telefonnetzwerke über verschiedene Plattformen hinweg zu hosten und einzurichten sowie die Überwachung, Wartung und Aktualisierung der virtuellen Telefonsysteme zu erleichtern.

Automatische GitHub-Sicherungen

Zu den drei Fehlern gehören diejenigen, die von einer willkürlichen Pfaddurchquerung in der Webschnittstelle, einer serverseitigen Anforderungsfälschung (SSRF) aufgrund einer veralteten Abhängigkeit von Drittanbietern (CVE-2019-18394) und eine Befehlsinjektion nach der Authentifizierung mithilfe eines Daemon-Dienstes (“exd.pl”).

Mit anderen Worten, die Schwachstellen können kettenartig aneinandergereiht werden, um auf nicht exponierte Endpunkte zuzugreifen, indem willkürliche GET-Anforderungen gesendet werden, um das Administratorkennwort zu erhalten, und es dann verwenden, um mithilfe der geplanten Aufgabe eine Remotecodeausführung zu erhalten.

Verhindern Sie Datenschutzverletzungen

Die Exploit-Kette kann verwendet werden, „um Befehle als Root auszuführen“, sagte Eshetu und fügte hinzu: „Dies gibt uns die volle Kontrolle über die Maschine und eine einfache Möglichkeit, Berechtigungen zu eskalieren.“ Die Fehler wurden Pascom am 3. Januar 2022 gemeldet, woraufhin Patches veröffentlicht wurden.

Kunden, die CPS selbst hosten und nicht in der Cloud, wird empfohlen, auf die neueste Version zu aktualisieren (pascom-Server 19.21) so schnell wie möglich, um potenziellen Bedrohungen entgegenzuwirken.


💙 Intern: Weil wir unabhängig sind, sowie keinen "unendlichen" Gewinn anstreben, geben wir in jedem Monat ungefähr ein drittel, aller Einnahmen aus Werbung und Spenden an die Katastrophenschutzhilfe. 
Wir freuen uns auch über jede kleine Spende z.B. über PayPal.

Ähnliche Artikel.

Nennen Sie diesen Toon: Messer raus

Was wäre ein Cartoon ohne eine clevere Bildunterschrift? Dafür wenden wir uns an Sie, unsere witzigen Leser. Senden Sie uns Ihre Ideen nicht nur für die Chance, $25 zu gewinnen Amazon…

teisstalk

teisstalk Anfang 17.05.2022Ende 17.05.2022Veranstaltungsort Online Am 17. Mai 2022 findet um 16:00 Uhr ein teisstalk zum Thema "Ransomware 2022: Wie entwickelt sich die lukrativste Form der…

4. IT-Grundschutz-Tag 2022

4. IT-Grundschutz-Tag 2022 Anfang 10.11.2022Ende 10.11.2022 Am 10. November 2022 findet der 4. IT-Grundschutz-Tag 2022 statt. Die Anmeldung wird voraussichtlich vier Wochen vorher über die…

1 of 100