目前世界上最流行的一些通信應(yīng)用程序都使用了一個充滿了安全漏洞的開源庫。

這個開源的、含有大量漏洞的庫與12月爆發(fā)的Apache Log4J日志庫漏洞都有一個共同點：他們被各個行業(yè)廣泛使用。

這個PJSIP庫，是一個開源的多媒體通信庫，Asterisk程序一直在使用它進行開發(fā)。Asterisk是一個企業(yè)級的、開源的PBX(專用分支交換機)工具包，在大量的工程中用于IP語音(VoIP)服務(wù)。

據(jù)Asterisk網(wǎng)站稱，該軟件每年被下載超過200萬次，在170個國家的將近100萬臺服務(wù)器上運行。Asterisk為IP PBX系統(tǒng)、VoIP網(wǎng)關(guān)和會議服務(wù)器提供支持，它也被大量中小企業(yè)、呼叫中心、運營商和政府所使用。

周一，開發(fā)平臺提供商JFrog Security披露了PJSIP的五個內(nèi)存泄露漏洞。PJSIP提供了一個API，該API可以被IP電話和會議應(yīng)用等IP電話應(yīng)用使用。

JFrog研究人員解釋說，攻擊者成功利用這些漏洞后，可以在使用PJSIP庫的應(yīng)用程序中打開遠(yuǎn)程代碼執(zhí)行(RCE)的開關(guān)。

在Jfrog進行披露之后，PJSIP的維護者已經(jīng)修復(fù)了這五個CVE漏洞，如下圖所示。

漏洞產(chǎn)生的原因

在其分析報告中，JFrog研究人員解釋說，PJSIP框架提供了一個名為PJSUA的庫，該庫為SIP應(yīng)用提供了一個API。他們說， PJSUA提供了豐富的媒體處理API，我們在那里發(fā)現(xiàn)了五個漏洞。其中的三個漏洞是堆棧溢出漏洞，可導(dǎo)致RCE，它們在CVSS嚴(yán)重性評級表上被評為8.1。其余的兩個是PJSUA API中的一個越界讀取漏洞和一個緩沖區(qū)溢出漏洞，這兩個漏洞都可能會導(dǎo)致拒絕服務(wù)攻擊(DoS)，這兩個漏洞的CVSS評分為5.9。

含有漏洞的位置

JFrog說，那些使用PJSIP庫2.12版之前的項目，如果向以下任何一個API傳遞攻擊者控制的參數(shù)，都會受到攻擊。

• l pjsua_player_create - 文件名參數(shù)必須是攻擊者可控制的。
• l pjsua_recorder_create - 文件名參數(shù)必須是攻擊者可控制的。
• l pjsua_playlist_create - 文件名參數(shù)必須是攻擊者可以控制的。
• l pjsua_call_dump - 緩沖區(qū)參數(shù)容量必須小于128字節(jié)。
• JFrog建議將PJSIP升級到2.12版本來解決這些漏洞。

這不是第一次爆發(fā)漏洞

PJSIP和其他常見的視頻會議軟件中出現(xiàn)漏洞并不新鮮。2018年8月，谷歌Project Zero研究員Natalie Silvanovich披露了大量常見的關(guān)鍵漏洞，包括WebRTC(由Chrome、Safari、Firefox、Facebook Messenger、Signal等使用)、PJSIP(同樣，在Asterisk的數(shù)百萬個軟件中使用)和蘋果的FaceTime專有庫。

Reason Cybersecurity的研究人員表示，如果這些漏洞被攻擊者利用，那么這些漏洞會讓攻擊者僅僅通過撥打視頻電話，就可以令使用這些組件的應(yīng)用程序崩潰。從而引發(fā)內(nèi)存堆溢出，使得攻擊者能夠接管受害者的視頻通話賬戶。

他寫道，Skype、Google Hangouts和WhatsApp等應(yīng)用程序可以使全球任何地方的兩點之間能夠進行面對面交流。但從那時起，當(dāng)需要進行虛擬連接時，這種漏洞的危害性就變得很大，我們最好聽從JFrog的建議，盡快對漏洞進行修補。

本文翻譯自：https://threatpost.com/rce-bugs-popular-voip-apps-patch-now/178719/如若轉(zhuǎn)載，請注明原文地址。