目前世界上最流行的一些通信應(yīng)用程序都使用了一個(gè)充滿了安全漏洞的開源庫。

這個(gè)開源的、含有大量漏洞的庫與12月爆發(fā)的Apache Log4J日志庫漏洞都有一個(gè)共同點(diǎn)：他們被各個(gè)行業(yè)廣泛使用。

這個(gè)PJSIP庫，是一個(gè)開源的多媒體通信庫，Asterisk程序一直在使用它進(jìn)行開發(fā)。Asterisk是一個(gè)企業(yè)級(jí)的、開源的PBX(專用分支交換機(jī))工具包，在大量的工程中用于IP語音(VoIP)服務(wù)。

據(jù)Asterisk網(wǎng)站稱，該軟件每年被下載超過200萬次，在170個(gè)國家的將近100萬臺(tái)服務(wù)器上運(yùn)行。Asterisk為IP PBX系統(tǒng)、VoIP網(wǎng)關(guān)和會(huì)議服務(wù)器提供支持，它也被大量中小企業(yè)、呼叫中心、運(yùn)營商和政府所使用。

周一，開發(fā)平臺(tái)提供商JFrog Security披露了PJSIP的五個(gè)內(nèi)存泄露漏洞。PJSIP提供了一個(gè)API，該API可以被IP電話和會(huì)議應(yīng)用等IP電話應(yīng)用使用。

JFrog研究人員解釋說，攻擊者成功利用這些漏洞后，可以在使用PJSIP庫的應(yīng)用程序中打開遠(yuǎn)程代碼執(zhí)行(RCE)的開關(guān)。

在Jfrog進(jìn)行披露之后，PJSIP的維護(hù)者已經(jīng)修復(fù)了這五個(gè)CVE漏洞，如下圖所示。

漏洞產(chǎn)生的原因

在其分析報(bào)告中，JFrog研究人員解釋說，PJSIP框架提供了一個(gè)名為PJSUA的庫，該庫為SIP應(yīng)用提供了一個(gè)API。他們說， PJSUA提供了豐富的媒體處理API，我們?cè)谀抢锇l(fā)現(xiàn)了五個(gè)漏洞。其中的三個(gè)漏洞是堆棧溢出漏洞，可導(dǎo)致RCE，它們?cè)贑VSS嚴(yán)重性評(píng)級(jí)表上被評(píng)為8.1。其余的兩個(gè)是PJSUA API中的一個(gè)越界讀取漏洞和一個(gè)緩沖區(qū)溢出漏洞，這兩個(gè)漏洞都可能會(huì)導(dǎo)致拒絕服務(wù)攻擊(DoS)，這兩個(gè)漏洞的CVSS評(píng)分為5.9。

含有漏洞的位置

JFrog說，那些使用PJSIP庫2.12版之前的項(xiàng)目，如果向以下任何一個(gè)API傳遞攻擊者控制的參數(shù)，都會(huì)受到攻擊。

• l pjsua_player_create - 文件名參數(shù)必須是攻擊者可控制的。
• l pjsua_recorder_create - 文件名參數(shù)必須是攻擊者可控制的。
• l pjsua_playlist_create - 文件名參數(shù)必須是攻擊者可以控制的。
• l pjsua_call_dump - 緩沖區(qū)參數(shù)容量必須小于128字節(jié)。
• JFrog建議將PJSIP升級(jí)到2.12版本來解決這些漏洞。

這不是第一次爆發(fā)漏洞

PJSIP和其他常見的視頻會(huì)議軟件中出現(xiàn)漏洞并不新鮮。2018年8月，谷歌Project Zero研究員Natalie Silvanovich披露了大量常見的關(guān)鍵漏洞，包括WebRTC(由Chrome、Safari、Firefox、Facebook Messenger、Signal等使用)、PJSIP(同樣，在Asterisk的數(shù)百萬個(gè)軟件中使用)和蘋果的FaceTime專有庫。

Reason Cybersecurity的研究人員表示，如果這些漏洞被攻擊者利用，那么這些漏洞會(huì)讓攻擊者僅僅通過撥打視頻電話，就可以令使用這些組件的應(yīng)用程序崩潰。從而引發(fā)內(nèi)存堆溢出，使得攻擊者能夠接管受害者的視頻通話賬戶。

他寫道，Skype、Google Hangouts和WhatsApp等應(yīng)用程序可以使全球任何地方的兩點(diǎn)之間能夠進(jìn)行面對(duì)面交流。但從那時(shí)起，當(dāng)需要進(jìn)行虛擬連接時(shí)，這種漏洞的危害性就變得很大，我們最好聽從JFrog的建議，盡快對(duì)漏洞進(jìn)行修補(bǔ)。

本文翻譯自：https://threatpost.com/rce-bugs-popular-voip-apps-patch-now/178719/如若轉(zhuǎn)載，請(qǐng)注明原文地址。