Les chercheurs en sécurité ont pu enchaîner trois vulnérabilités distinctes pour parvenir à la compromission complète du Cloud Phone System de Pascom.

L’exécution complète de code à distance pré-authentifié (RCE) sur la voix sur IP (VoIP) axée sur l’entreprise et la plate-forme de communication plus générale a été réalisée par Daniel Eshetu de la société éthiopienne d’infosec Kerbit en combinant un trio de failles de sécurité moins graves.

Les trois composants de l’exploit réussi étaient constitués d’une vulnérabilité de traversée de chemin, d’une faille SSRF (server side request forgery) dans un logiciel externe et d’un problème RCE post-authentification.

Les trois bogues ont été corrigés dans les versions 7.20.x du Cloud Phone System de Passcom, publiées en janvier, bien avant que Kerbit ne publie ses conclusions lundi (7 mars).

Les entreprises utilisant des versions cloud de la technologie ont été automatiquement mises à jour. Cependant, les utilisateurs de la version auto-hébergée doivent s’assurer que leurs systèmes sont à jour.

Le système exécute un système d’exploitation basé sur Linux avec la technologie fonctionnant dans des conteneurs LXC fournissant une variété de services.

Aperçu CVE

Comme expliqué dans un rédaction technique par Kerbit, la première faille impliquait la traversée de chemin dans Nginx vers les requêtes de proxy inverse Tomcat (CVE-2021-45968).

Le problème SSRF provenait d’un fichier jar Openfire (serveur XMPP) obsolète qui était vulnérable à une faille identifiée comme CVE-2021-45967. Cela remonte à une vulnérabilité découverte il y a environ trois ans, CVE-2019-18394, impliquant la technologie d’Openfire.

XMPP est un protocole de communication ouvert qui gère les fonctions de messagerie instantanée, de présence et de liste de contacts.

La dernière vulnérabilité concernait l’injection de commande dans une tâche planifiée (CVE-2021-45966).

En réponse aux questions de La gorgée quotidienneKermit a déclaré avoir découvert des failles dans le système téléphonique en nuage de Passcom dans le cadre d’un projet de recherche plus large portant sur la sécurité des systèmes VoIP.

« Notre recherche n’était pas principalement axée sur les systèmes VoIP, mais sur leurs applications Web et leur gestion, ainsi que sur l’existence de bogues courants », a expliqué Kermit, ajoutant que « nous ne pensons pas qu’il existe des conseils plus larges pour toutes les plates-formes VoIP qui soient différents de tout autre système/ application. »

Sur Pascom en particulier, le nombre de « périphériques concernés devrait être très faible étant donné que la plupart des instances fonctionnent dans la propre infrastructure de Pascom (cloud) et que le correctif y a été appliqué », selon Kerbit.

De son côté, Pascom mentionné il voulait « remercier KerbitSec pour la coopération rapide et efficace qui nous a permis de fermer ces vulnérabilités ! »