• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

主流VoIP应用中的RCE漏洞


Recommended Posts

目前,世界上一些最流行的通信应用程序使用的是充满安全漏洞的开源库。

这个存在大量漏洞的开源库与12月爆发的Apache Log4J日志库漏洞有一个共同点:它们被广泛应用于各个行业。

这个PJSIP库是一个开源的多媒体通信库,Asterisk program一直用它进行开发。Asterisk是一个企业级的开源PBX(专用小交换机)工具包,用于大量项目中的IP语音(VoIP)服务。

据Asterisk网站称,该软件每年被下载超过200万次,在170个国家的近100万台服务器上运行。Asterisk提供对IP PBX系统、VoIP网关和会议服务器的支持。大量中小企业、呼叫中心、运营商、政府也在使用。

周一,开发平台提供商JFrog Security披露了PJSIP的五次内存泄漏。PJSIP提供了一个API,可以被IP电话应用程序使用,例如IP电话和会议应用程序。

研究人员JFrog解释说,在成功利用这些漏洞后,攻击者可以在使用PJSIP库的应用程序中打开远程代码执行(RCE)的开关。

Jfrog做出披露后,PJSIP的维护人员已经修复了这五个CVE漏洞,如下图所示。

PJSIP-security-vulnerabilities-e1646168517426.png

漏洞产生的原因

在其分析报告中,JFrog研究人员解释说,PJSIP框架提供了一个名为PJSUA的库,它为SIP应用程序提供了一个API。他们说PJSUA提供了丰富的媒体处理API,我们在那里发现了五个漏洞。其中三个漏洞是堆栈溢出漏洞,这可能导致RCE。它们在CVSS严重等级表上被评为8.1级。另外两个是PJSUA API中的越界读取漏洞和缓冲区溢出漏洞,这两个漏洞都可能导致拒绝服务攻击(DoS)。这两个漏洞的CVSS得分为5.9。

含有漏洞的位置

JFrog表示,那些使用2.12版之前的PJSIP库的项目,如果将攻击者控制的参数传递给以下任何一个API,就会受到攻击。

l pj SUA _ player _ create——文件名参数必须是攻击者可以控制的。

l pj SUA _ recorder _ create——文件名参数必须是攻击者可以控制的。

l pj SUA _ playlist _ create——文件名参数必须是攻击者可以控制的。

L pjsua_call_dump-buffer参数容量必须小于128字节。

JFrog建议将PJSIP升级到2.12版本,以解决这些漏洞。

这不是第一次爆发漏洞

PJSIP和其他常见视频会议软件中的漏洞并不新鲜。2018年8月,谷歌Project Zero的研究员娜塔莉席尔瓦诺维奇(Natalie Silvanovich)披露了大量常见的关键漏洞,包括WebRTC(Chrome、Safari、Firefox、Facebook Messenger、Signal等使用。)、PJSIP(同样,在Asterisk的数百万个软件中使用)和苹果的FaceTime专有库。

Reason Cybersecurity的研究人员表示,如果这些漏洞被攻击者利用,这些漏洞将允许攻击者仅仅通过进行视频通话就可以使使用这些组件的应用程序崩溃。从而造成内存堆溢出,让攻击者接管受害者的视频通话账号。

他写道,Skype、Google Hangouts和WhatsApp等应用程序可以实现世界任何地方两点之间的面对面交流。但此后,当需要虚拟连接时,这种漏洞就变得非常有害。我们最好听从JFrog的建议,尽快修复漏洞。

Link to comment
Share on other sites