Các nhà nghiên cứu đã phát hiện ba lỗ hổng bảo mật trong Hệ thống điện thoại đám mây (Cloud Phone System-CPS) Pascom có thể được kết hợp để đạt được thực thi mã từ xa mà không cần xác thực trên các hệ thống bị ảnh hưởng.
Hệ thống điện thoại đám mây Pascom là một giải pháp liên lạc và cộng tác tích hợp cho phép các doanh nghiệp lưu trữ và thiết lập mạng điện thoại riêng trên các nền tảng khác nhau cũng như tạo điều kiện cho việc giám sát, bảo trì và cập nhật liên quan đến hệ thống điện thoại ảo.
Ba lỗ hổng bao gồm path traversal tùy ý trong giao diện web, giả mạo yêu cầu phía máy chủ (SSRF) trong một thư viện bên thứ ba đã lỗi thời (CVE-2019-18394) và lỗ hổng command injection (có yêu cầu xác thực).
Các lỗ hổng có thể được kết hợp để truy cập các endpoints không được công khai bằng cách gửi các requests GET để lấy mật khẩu quản trị viên, sau đó sử dụng nó để thực thi mã từ xa.
Eshetu cho biết chuỗi khai thác có thể được sử dụng "để thực thi các lệnh với quyền root", điều này cho phép kẻ tấn công toàn quyền kiểm soát hệ thống và leo thang đặc quyền dễ dàng." Các lỗ hổng được báo cáo cho Pascom vào ngày 3/1/2022 và đã được phát hành bản vá sau đó.
Người dùng CPS nên cập nhật lên phiên bản mới nhất (pascom Server 19.21) càng sớm càng tốt để giảm thiểu mọi rủi ro liên quan đến lỗ hổng.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Google đã phát hành bản cập nhật bảo mật tháng 3 năm 2022 cho Android, khắc phục ba lỗ hổng nghiêm trọng, một trong số đó ảnh hưởng đến tất cả các thiết bị chạy phiên bản mới nhất của hệ điều hành di động.
Tín nhiệm mạng | Một trojan ngân hàng Android mới có tên SharkBot đã vượt qua các kiểm tra bảo mật của Cửa hàng Google Play bằng cách giả dạng ứng dụng chống virus.
Tín nhiệm mạng | Mozilla đã phát hành các bản cập nhật phần mềm cho trình duyệt Firefox để khắc phục hai lỗ hổng zero-day đã và đang bị khai thác trong thực tế.
Tín nhiệm mạng | Mới đây, nhóm ransomware Lapsus$ đã làm rò rỉ một tập dữ liệu bí mật lớn được cho là của Samsung Electronics-một công ty điện tử lớn của Hàn Quốc.
Tín nhiệm mạng | Cisco đã phát hành các bản vá để khắc phục các lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Expressway Series và Máy chủ truyền thông video TelePresence VCS, cho phép tin tặc leo thang đặc quyền và thực thi mã tùy ý.
Tín nhiệm mạng | Công ty sản xuất chip NVIDIA xác nhận bị tin tặc tấn công và xâm phạm vào dữ liệu nhạy cảm, bao gồm mã nguồn liên quan đến công nghệ Deep Learning Super Sampling
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
