🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Phát hiện các lỗ hổng nghiêm trọng trong phần mềm giám sát VoIPmonitor

03/03/2022

Các lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong phần mềm VoIPmonitor. Khai thác thành công lỗ hổng cho phép kẻ tấn công không cần xác thực có thể leo thang đặc quyền lên cấp quản trị viên và thực thi lệnh tùy ý.

Các lỗ hổng do các nhà nghiên cứu từ công ty bảo mật Kerbit phát hiện và báo cáo, đã được khắc phục trong phiên bản 24.97 của WEB GUI, được phát hành vào ngày 11/01/2022.

VoIPmonitor là một công cụ giám sát và phân tích gói tin (Packet sniffer) mã nguồn mở, với phiên bản thương mại có giao diện dành cho các giao thức SIP RTP và RTCP VoIP chạy trên Linux, cho phép người dùng theo dõi và khắc phục sự cố chất lượng của các cuộc gọi SIP VoIP cũng như giải mã, phát và lưu trữ các cuộc gọi trong cơ sở dữ liệu CDR.

Các lỗ hổng được Kerbit phát hiện bao gồm:

CVE-2022-24259 (điểm CVSS: 9,8) - Lỗ hổng do thiếu kiểm tra xác thực trong thành phần "cdr.php" của GUI, cho phép kẻ tấn công không cần xác thực có thể leo thang đặc quyền.

CVE-2022-24260 (điểm CVSS: 9,8) - Lỗ hổng SQL injection trong các thành phần "api.php" và "domains.php" của GUI, cho phép kẻ tấn công leo thang đặc quyền lên cấp quản trị viên và truy xuất dữ liệu nhạy cảm.

CVE-2022-24262 (Điểm CVSS: 7,8) - Lỗ hổng thực thi lệnh từ xa thông qua chức năng khôi phục cấu hình của GUI do thiếu kiểm tra định dạng tệp lưu trữ.

Để giảm thiểu các nguy cơ bị tấn công, người dùng nên thường xuyên kiểm tra và cập nhật lên phiên bản mới nhất của VoIPmonitor.

Nguồn: thehackernews.com.

scrolltop