Kerentanan XSS Dalam Protokol SIP Beresiko Serangan RCE Pada Perangkat Lunak VoIP

  • Whatsapp

Kerentanan cross-site scripting (XSS) yang serius ada di Session Initiation Protocol (SIP) yang mengelola panggilan VoIP. Mengeksploitasi bug dapat memungkinkan penyerang untuk mengeksekusi kode pada sistem target tanpa otentikasi.

Kerentanan Protokol SIP XSS

Peneliti keamanan dari Enable Security, Juxhin Dyrmishi Brigjaj, menemukan kerentanan cross-site scripting (XSS) di Protokol SIP. Peneliti menemukan kerentanan saat mengaudit GUI VoIPmonitor.

Seperti yang diuraikan, SIP XSS terutama mempengaruhi GUI VoIP yang memungkinkan pengambilalihan sistem dengan mengirimkan pesan SIP berbahaya.

Secara singkat, GUI memiliki fitur untuk memantau permintaan register perangkat SIP melalui nilai header User-Agent. Dengan demikian, mengirim permintaan dengan Agen-Pengguna yang berbahaya akan memungkinkan mengeksekusi kode. Seperti yang ditunjukkan oleh peneliti,

Pesan jahat kami akan mengatur User-Agent untuk <img src=x onerror=alert(1)> dan jika ini dirender di DOM, browser akan gagal mengambil gambar di bawah /x (yang mudah-mudahan tidak ada) dan jika gagal, mengeksekusi kode berbahaya.

Improvisasi serangan ini selanjutnya akan memungkinkan mengeksekusi kode berbahaya sebagai administrator. Serangan semacam itu bahkan akan membuat penyerang mendapatkan akses pintu belakang yang persisten ke sistem target. Beberapa aktivitas jahat yang kemudian menjadi mungkin termasuk eksfiltrasi data sensitif dari klien VoIP, menghapus akun admin yang sah, mengumpulkan kredensial melalui keyloggers, dan mengeksploitasi aplikasi web internal.

Rincian teknis tentang eksploitasi tersedia di peneliti pos.

Patch Dirilis

Setelah menemukan bug tersebut, peneliti menghubungi pengembang VoIPmonitor mengenai masalah ini pada Februari 2021. Mengikuti laporan mereka, versi terbaru tiba segera setelah menambal kerentanan ini.

Sementara tambalan ada, peneliti juga berbagi beberapa wawasan tentang kemungkinan mitigasi untuk serangan semacam itu.

Pastikan input pengguna dikodekan HTML sebelum dirender di beberapa bagian antarmuka web…
Jika input pengguna memiliki format, struktur, dan kumpulan nilai yang diharapkan, pastikan untuk memvalidasinya terlebih dahulu dan menolak input yang tidak valid sedini mungkin.

Namun, pengembang juga perlu memantau aplikasi untuk keamanan berdasarkan kasus per kasus.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *