L’Offensive Security Team di Swascan ha identificato diverse vulnerabilità durante un’attività di Penetration Test su Yeastar PBX Configuration Panel serie N.

Il vendor è stato contattato in più occasioni, ma non è stata mai rilasciata nessuna risposta ufficiale a partire dal 19/10/2022. Swascan ha pubblicato questo avviso di vulnerabilità trascorsi i 90 giorni previsti dal periodo d’attesa prestabilito per questa attività.

YEASTAR

Yeastar è un’azienda cinese con un solido fornitore tecnico di sistemi PBX e soluzioni VOIP.

Descrizione Prodotto

Yeastar sviluppa e produce prodotti e soluzioni per sistemi collaborativi remoti.

Technical summary

L’Offensive Security Team di Swascan ha rilevato un’importante vulnerabilità su: Yeastar  N412 e sul pannello di configurazione N824.

Nella sezione seguente si mostrano i dettagli tecnici della vulnerabilità, comprese le prove e un proof of concept. Questa vulnerabilità può condizionare centinaia di dispositivi connessi a Internet.

Descrizione

Nel pannello di configurazione di Yeastar  N412 e N824, un utente malintenzionato non autenticato può creare un file di backup e scaricarlo, rivelando l’hash di amministrazione e consentendo, una volta violato, di accedere all’interno del pannello di configurazione, altrimenti, sostituendo l’hash nell’archivio può ripristinarlo sul dispositivo.

È possibile lanciare l’attacco da remoto senza alcuna forma di autenticazione.

Proof of Concept

 Per ottenere l’acquisizione dell’account vengono eseguiti questi passaggi:

1. Creazione di un file di backup non autenticato
2. Scarica il file .tar creato
3. Crack l’hash dell’amministratore all’interno dell’archivio e accedi al dispositivo o modifica l’archivio .tar sostituendo l’hash dell’amministratore
4. Se non è stato possibile decifrare l’hash, è necessario caricare il nuovo file di backup modificato
5. Ripristina il file di backup caricato
6. Riavvia il dispositivo se necessario

Di seguito i dettagli sulle fasi di sfruttamento:

1. Richiedere la creazione di un file di backup con un determinato nome.

2. Scarica il file di backup appena creato.

3. All’interno della risposta precedente abbiamo trovato l’hash admin. Una volta ottenuto l’hash admin possiamo provare a decifrarlo, altrimenti possiamo modificare l’archivio e caricarlo sul dispositivo.

4. Quindi ripristiniamo il file di backup della configurazione caricato.

5.Se necessario, possiamo attivare un riavvio per ricaricare la configurazione con la nuova password.

Impatto

Un utente malintenzionato potrebbe ottenere l’accesso al sistema remoto e inoltre abilitare la console ssh che ha una password di root predefinita una volta attivata ed eseguire comandi arbitrari sul sistema basato su Linux come utente root.

Remediation

L’Offensive Security Team di Swascan suggerisce di non distribuire il dispositivo direttamente su Internet, ma di configurare il dispositivo dietro una connessione VPN.

Disclosure Timeline

• 04-03-2022: Vulnerabilità identificata
• 08-03-2022: Vendor contattato via email (Prima volta, nessuna risposta)
• 14-03-2022: Vendor contattato via email (Seconda volta, nessuna risposta)
• 23-03-2022: swascan ha segnalato a CERT/CC
• 28-06-2022: CERT/CC non riceve nessuna risposta dal Vendor
• 07-07-2022: vendor contattato via email
• 17-10-2022: Swascan pubblica la vulnerabilità
• 20-01-2023: CVE assegnata CVE-2022-47732

Riferimenti

• https://owasp.org/Top10/A01_2021-Broken_Access_Control/
• https://www.yeastar.com/n-series-analog-phone-system/
• https://nvd.nist.gov/vuln/detail/CVE-2022-47732