Les chercheurs ont révélé trois vulnérabilités de sécurité affectant Pascom Cloud Phone System (SCS) qui pourraient être combinés pour obtenir une exécution complète du code à distance pré-authentifié des systèmes concernés.

Daniel Eshetu, chercheur en sécurité Kerbit mentionné les lacunes, lorsqu’elles sont enchaînées, peuvent conduire à « un attaquant non authentifié prenant racine sur ces appareils ».

Pascom Cloud Phone System est une solution intégrée de collaboration et de communication qui permet aux entreprises d’héberger et de configurer des réseaux téléphoniques privés sur différentes plates-formes, ainsi que de faciliter la surveillance, la maintenance et les mises à jour associées aux systèmes téléphoniques virtuels.

L’ensemble de trois failles comprend celles résultant d’une traversée de chemin arbitraire dans l’interface Web, une falsification de requête côté serveur (SSRF) en raison d’une dépendance tierce obsolète (CVE-2019-18394), et une injection de commande post-authentification à l’aide d’un service démon (« exd.pl »).

En d’autres termes, les vulnérabilités peuvent être enchaînées à la manière d’une chaîne pour accéder à des points de terminaison non exposés en envoyant des requêtes GET arbitraires pour obtenir le mot de passe administrateur, puis l’utiliser pour obtenir l’exécution de code à distance à l’aide de la tâche planifiée.

La chaîne d’exploitation peut être utilisée « pour exécuter des commandes en tant que root », a déclaré Eshetu, ajoutant que « cela nous donne un contrôle total de la machine et un moyen facile d’élever les privilèges ». Les failles ont été signalées à Pascom le 3 janvier 2022, après quoi des correctifs ont été publiés.

Les clients qui hébergent eux-mêmes CPS plutôt que sur le cloud sont invités à mettre à jour vers la dernière version (serveur pascom 19.21) dès que possible pour contrer toute menace potentielle.