In der VoIPmonitor-Software wurden kritische Sicherheitslücken entdeckt, die es nicht authentifizierten Angreifern ermöglichen könnten, ihre Rechte auf die Administratorebene zu erweitern und beliebige Befehle auszuführen.
Nachdem Forscher von Kerbit, einem in Äthiopien ansässigen Unternehmen für Penetrationstests und Schwachstellenforschung, die Schwachstellen am 15. Dezember 2021 aufgedeckt hatten, wurden sie in der Version 24.97 der WEB GUI behoben, die am 11. Januar 2022 ausgeliefert wurde.
„[F]ünf kritische Schwachstellen – neue SQL-Injektionen für nicht authentifizierte Benutzer, die Admin-Rechte erlangen können“, vermerken die Entwickler von VoIPmonitor im Änderungsprotokoll.
VoIPmonitor ist ein Open-Source-Netzwerk-Packet-Sniffer mit kommerziellem Frontend für die VoIP-Protokolle SIP RTP und RTCP, der unter Linux läuft. Er ermöglicht es den Nutzern, die Qualität von SIP-VoIP-Anrufen zu überwachen und Fehler zu beheben sowie Anrufe zu dekodieren, abzuspielen und in einer CDR-Datenbank zu archivieren.
Die drei von Kerbit identifizierten Schwachstellen sind die folgenden
CVE-2022-24259 (CVSS-Score: 9.8) – Ein Authentifizierungsumgehungsfehler in der Komponente „cdr.php“ der GUI, der es einem nicht authentifizierten Angreifer ermöglicht, seine Rechte über eine speziell gestaltete Anfrage zu erhöhen.
(CVSS-Score: 9.8) – Ein Authentifizierungs-Bypass-Fehler in der Komponente „cdr.php“ der GUI, der es einem nicht authentifizierten Angreifer ermöglicht, seine Privilegien über eine speziell gestaltete Anfrage zu erhöhen. CVE-2022-24260 (CVSS-Score: 9.8) – Eine SQL-Injection-Schwachstelle in den Komponenten „api.php“ und „utilities.php“ der GUI, die es Angreifern ermöglicht, ihre Rechte auf die Administratorebene zu erweitern und sensible Daten abzurufen.
(CVSS-Score: 9.8) – Eine SQL-Injection-Schwachstelle, die in den Komponenten „api.php“ und „utilities.php“ der GUI auftritt und es Angreifern ermöglicht, die Rechte auf die Administratorebene zu erweitern und vertrauliche Daten abzurufen. CVE-2022-24262 (CVSS-Score: 7.8) – Eine entfernte Befehlsausführung über die Konfigurationswiederherstellungsfunktion der GUI aufgrund einer fehlenden Überprüfung von Archivdateiformaten, die es einem Angreifer ermöglicht, über eine manipulierte Datei beliebige Befehle auszuführen.
„Der Hauptgrund für diesen Fehler ist die Tatsache, dass wir jede beliebige Dateierweiterung hochladen dürfen und dass wir die hochgeladenen Dateien erreichen können, um sie zur Ausführung zu bringen“, sagte Kerbit-Forscher Daniel Eshetu, der die Schwachstellen entdeckt hat, in einem Bericht.