Kritische RCE-Bugs in Pascom Cloud-Telefonsystem gefunden, das von Unternehmen verwendet wird

Forscher haben drei Sicherheitslücken offengelegt, die das Pascom Cloud Phone System betreffen (CPS), die kombiniert werden könnten, um eine vollständige vorauthentifizierte Remote-Code-Ausführung betroffener Systeme zu erreichen.

Kerbit-Sicherheitsforscher Daniel Eshetu genannt Die Mängel können, wenn sie miteinander verkettet sind, dazu führen, dass „ein nicht authentifizierter Angreifer auf diesen Geräten Wurzeln schlägt“.

Pascom Cloud Phone System ist eine integrierte Kollaborations- und Kommunikationslösung, die es Unternehmen ermöglicht, private Telefonnetzwerke über verschiedene Plattformen hinweg zu hosten und einzurichten sowie die Überwachung, Wartung und Aktualisierung der virtuellen Telefonsysteme zu erleichtern.

Zu den drei Fehlern gehören diejenigen, die von einer willkürlichen Pfaddurchquerung in der Webschnittstelle, einer serverseitigen Anforderungsfälschung (SSRF) aufgrund einer veralteten Abhängigkeit von Drittanbietern (CVE-2019-18394) und eine Befehlsinjektion nach der Authentifizierung mithilfe eines Daemon-Dienstes (“exd.pl”).

Mit anderen Worten, die Schwachstellen können kettenartig aneinandergereiht werden, um auf nicht exponierte Endpunkte zuzugreifen, indem willkürliche GET-Anforderungen gesendet werden, um das Administratorkennwort zu erhalten, und es dann verwenden, um mithilfe der geplanten Aufgabe eine Remotecodeausführung zu erhalten.

Die Exploit-Kette kann verwendet werden, „um Befehle als Root auszuführen“, sagte Eshetu und fügte hinzu: „Dies gibt uns die volle Kontrolle über die Maschine und eine einfache Möglichkeit, Berechtigungen zu eskalieren.“ Die Fehler wurden Pascom am 3. Januar 2022 gemeldet, woraufhin Patches veröffentlicht wurden.

Kunden, die CPS selbst hosten und nicht in der Cloud, wird empfohlen, auf die neueste Version zu aktualisieren (pascom-Server 19.21) so schnell wie möglich, um potenziellen Bedrohungen entgegenzuwirken.