Forscher haben drei Sicherheitslücken im Pascom Cloud Phone System (CPS) aufgedeckt, die kombiniert werden können, um eine vollständige vorauthentifizierte Remotecodeausführung der betroffenen Systeme zu erreichen.
Daniel Eshetu, Sicherheitsforscher bei Kerbit, erklärte, dass die Schwachstellen, wenn sie miteinander kombiniert werden, dazu führen können, dass „ein nicht authentifizierter Angreifer Root-Rechte auf diesen Geräten erlangt“.
Pascom Cloud Phone System ist eine integrierte Kollaborations- und Kommunikationslösung, die es Unternehmen ermöglicht, private Telefonnetzwerke auf verschiedenen Plattformen zu hosten und einzurichten sowie die Überwachung, Wartung und Aktualisierung der virtuellen Telefonsysteme zu erleichtern.
Zu den drei Schwachstellen gehören eine beliebige Pfadüberquerung in der Weboberfläche, eine serverseitige Anforderungsfälschung (SSRF) aufgrund einer veralteten Drittanbieterabhängigkeit (CVE-2019-18394) und eine Befehlsinjektion nach der Authentifizierung über einen Daemon-Dienst („exd.pl“).
Mit anderen Worten: Die Schwachstellen können wie eine Kette aneinandergereiht werden, um auf nicht-exponierte Endpunkte zuzugreifen, indem willkürliche GET-Anfragen gesendet werden, um das Administrator-Passwort zu erhalten, und dieses dann zu verwenden, um mithilfe der geplanten Aufgabe Remotecode auszuführen.
Die Exploit-Kette kann dazu verwendet werden, „Befehle als Root auszuführen“, sagte Eshetu und fügte hinzu: „Das gibt uns die volle Kontrolle über den Rechner und eine einfache Möglichkeit, die Privilegien zu erweitern.“ Die Schwachstellen wurden am 3. Januar 2022 an Pascom gemeldet, woraufhin Patches veröffentlicht wurden.
Kunden, die CPS nicht in der Cloud, sondern selbst hosten, wird empfohlen, so schnell wie möglich auf die neueste Version (pascom Server 19.21) zu aktualisieren, um möglichen Bedrohungen zu begegnen.