العثور على أخطاء الحرجة في الهاتف السحابي Pascom . كشف الباحثون عن ثلاث ثغرات أمنية تؤثر على Pascom Cloud Phone System (CPS) والتي يمكن دمجها لتحقيق تنفيذ كامل للكود عن بعد مصدق مسبقًا للأنظمة المتأثرة.
وقال الباحث الأمني في Kerbit Daniel Eshetu إن أوجه القصور. عند ربطها ببعضها البعض. يمكن أن تؤدي إلى “مهاجم غير مصادق يكتسب جذرًا على هذه الأجهزة”.
نظام باسكوم كلاود للهاتف هو حل متكامل للتعاون والاتصال يسمح للشركات باستضافة وإعداد شبكات الهاتف الخاصة عبر منصات مختلفة بالإضافة إلى تسهيل المراقبة والصيانة والتحديثات المرتبطة بأنظمة الهاتف الافتراضية.
تتضمن مجموعة العيوب الثلاثة تلك التي تنشأ عن اجتياز المسار التعسفي في واجهة الويب. وتزوير طلب من جانب الخادم (SSRF) بسبب تبعية قديمة لجهة خارجية (CVE-2019-18394). وإدخال أمر ما بعد المصادقة باستخدام خدمة خفية (“exd.pl”).
بمعنى آخر. يمكن ترتيب الثغرات الأمنية بطريقة تشبه السلسلة للوصول إلى نقاط النهاية غير المكشوفة عن طريق إرسال طلبات GET عشوائية للحصول على كلمة مرور المسؤول. ثم استخدامها للحصول على تنفيذ التعليمات البرمجية عن بُعد باستخدام المهمة المجدولة.
من ناحية أخرى قال Eshetu إن سلسلة الاستغلال يمكن استخدامها “لتنفيذ الأوامر كجذر”. مضيفًا. “يمنحنا هذا تحكمًا كاملاً في الجهاز وطريقة سهلة لتصعيد الامتيازات.” تم الإبلاغ عن العيوب إلى باسكوم في 3 يناير 2022. وبعد ذلك تم إطلاق التصحيحات.
كما. يُنصح العملاء الذين يستضيفون CPS بأنفسهم بدلاً من على السحابة بالتحديث إلى أحدث إصدار (pascom Server 19.21) في أقرب وقت ممكن لمواجهة أي تهديدات محتملة.
العثور على أخطاء الحرجة في الهاتف السحابي Pascom . اذا جدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.