当今世界上一些最流行的通信应用程序使用了一个充满安全漏洞的开源库。这个开源的易受攻击的库与去年12月爆发的ApacheLog4J日志库漏洞有一个共同点:它们被各个行业广泛使用。这个PJSIP库是Asterisk程序一直用于开发的开源多媒体通信库。Asterisk是一个企业级的开源PBX(专用交换机)工具包,用于IP语音(VoIP)服务的大量项目。据Asterisk网站称,该软件每年的下载量超过200万次,在170个国家的近100万台服务器上运行。Asterisk为IPPBX系统、VoIP网关和会议服务器提供支持,它也被大量的中小企业、呼叫中心、运营商和政府所使用。周一,开发平台提供商JFrogSecurity披露了PJSIP中的五个内存泄漏漏洞。PJSIP提供了一个API,可由IP电话应用程序(如IP电话和会议应用程序)使用。JFrog研究人员解释说,成功利用这些漏洞的攻击者可以在使用PJSIP库的应用程序中开启远程代码执行(RCE)。经过Jfrog的披露,PJSIP的维护者已经修复了5个CVE漏洞,如下图所示。漏洞成因在他们的分析报告中,JFrog研究人员解释说PJSIP框架提供了一个名为PJSUA的库,它为SIP应用程序提供API。他们说,PJSUA提供了一个富媒体处理API,我们在其中发现了五个漏洞。其中三个漏洞是可导致RCE的堆栈溢出漏洞,它们在CVSS严重性等级量表中的等级为8.1。其余两个是PJSUAAPI中的越界读取漏洞和缓冲区溢出漏洞,这两个漏洞都可能导致拒绝服务攻击(DoS),两者的CVSS评分均为5.9。易受攻击的位置JFrog表示,如果使用2.12版之前的PJSIP库的项目将攻击者控制的参数传递给以下任何API,则它们很容易受到攻击。lpjsua_player_create-文件名参数必须是攻击者可控的。lpjsua_recorder_create-文件名参数必须是攻击者可控的。lpjsua_playlist_create-文件名参数必须是攻击者可控的。lpjsua_call_dump-缓冲区参数容量必须小于128字节。JFrog建议将PJSIP升级到2.12版本以解决这些漏洞。这不是第一次在PJSIP和其他常见视频会议软件中爆发漏洞。漏洞并不新鲜。2018年8月,谷歌零项目研究员NatalieSilvanovich披露了大量常见的严重漏洞,包括WebRTC(被Chrome、Safari、Firefox、FacebookMessenger、Signal等使用)、PJSIP(同样在Asterisk的数百万软件中使用)和Apple专有的FaceTime库。ReasonCyber??security的研究人员表示,如果攻击者利用这些漏洞,攻击者只需进行视频通话即可使使用这些组件的应用程序崩溃。这导致内存堆溢出,使攻击者能够接管受害者的视频通话帐户。他写道,Skype、GoogleHangouts和WhatsApp等应用程序可以在世界任何地方的两点之间进行面对面的交流。但是从那时起,当需要虚拟连接时,漏洞就变得如此有害,我们最好听从JFrog的建议,尽快修补漏洞。本文翻译自:https://threatpost.com/rce-bugs-popular-voip-apps-patch-now/178719/如有转载请注明出处。
