这些缺陷存在于无处不在的开源PJSIP多媒体通信库中,该库被大量VoIP实施中的Asterisk PBX工具包所使用。WhatsApp和BlueJeans只是世界上最受欢迎的两个通信应用程序,它们使用一个充满新发现的安全漏洞的开源库。
这个开源的、有缺陷的库与12月开始的ApacheLog4J日志库惨败有一个共同点:它无处不在。Asterisk也使用了PJSIP库——一个开源多媒体通信库。Asterisk是一个企业级的开源PBX(专用交换机)工具包,在大量实现中用于IP语音(VoIP)服务。
Infosec内部人士通讯
据Asterisk网站称,该软件每年被下载200万次,并在170个国家的100万台服务器上运行。Asterisk为IPPBX系统、VoIP网关和会议服务器提供支持,并被SMB、企业、呼叫中心、运营商和政府使用。
周一,devops平台提供商JFrogSecurity披露了PJSIP中的五个内存损坏漏洞,该漏洞提供了一个API,可用于IP电话应用程序,例如IP电话(VoIP)电话和会议应用程序。
JFrog研究人员解释说,成功触发漏洞的攻击者可以在使用PJSIP库的应用程序中打开远程代码执行(RCE)开关。
在JFrog披露之后,PJSIP的维护者已经修复了五个CVE,如下图所示。
披露的PJ SIP安全漏洞
什么地方出了错
在其技术故障中,JFrog研究人员解释说,PJSIP框架提供了一个名为PJSUA的库,该库为SIP应用程序提供API。
“基本的PJSUAAPI也包含在面向对象的API中。PJSUA提供了一个富媒体操作API,我们在其中发现了[五个]漏洞,”他们说。
其中三个缺陷是可导致RCE的堆栈溢出漏洞,在CVSS严重性评级量表上被评为8.1。
剩下的两个包括PJSUAAPI中的读取越界漏洞和缓冲区溢出漏洞,这两个漏洞都可能导致拒绝服务(DoS),并且都被评为CVSS5.9。
弱势项目
JFrog表示,使用2.12版之前的PJSIP库并将攻击者控制的参数传递给以下任何API的项目很容易受到攻击:
- pjsua_player_create–文件名参数必须由攻击者控制
- pjsua_recorder_create–文件名参数必须由攻击者控制
- pjsua_playlist_create–file_names参数必须(部分)受攻击者控制
- pjsua_call_dump–缓冲区参数容量必须小于128字节
JFrog建议将PJSIP升级到2.12版以解决漏洞。
不是第一次
PJSIP和其他常见的视频会议架构实现中的麻点并不是什么新鲜事。2018年8月,谷歌零项目研究员NatalieSilvanovich披露了大多数常见漏洞的严重漏洞,包括WebRTC(Chrome、Safari、Firefox、FacebookMessenger、Signal等使用)、PJSIP(同样被WhatsApp使用、BlueJeans和数以百万计的Asterisk实现)和Apple的FaceTime专有库。
“如果被利用,这些漏洞会让攻击者使用该实现崩溃应用程序,只需拨打一个视频电话,”RonenSlavin指出,他是ReasonCybersecurity的研究负责人,目前是源代码控制、检测的联合创始人兼首席技术官和响应平台Cycode,早在2019年。“这将触发内存堆溢出,这可能允许攻击者接管受害者的视频通话帐户。”
他写道,Skype、GoogleHangouts和WhatsApp等应用“让在全球任何地方的两点之间进行有意义的面对面互动变得容易”。那时是真的。但是从那以后,当涉及到虚拟连接时,这种流行病一直在燃烧:更有理由听从JFrog的建议并尽快修补。
