Security Advisory: Yeastar N412 and N824 Configuration Panel Account Takeover (CVE-2022-47732)

L’Offensive Security Team di Swascan ha identificato diverse vulnerabilità durante un’attività di Penetration Test su Yeastar PBX Configuration Panel serie N.

Il vendor è stato contattato in più occasioni, ma non è stata mai rilasciata nessuna risposta ufficiale a partire dal 19/10/2022. Swascan ha pubblicato questo avviso di vulnerabilità trascorsi i 90 giorni previsti dal periodo d’attesa prestabilito per questa attività.

YEASTAR

Yeastar è un’azienda cinese con un solido fornitore tecnico di sistemi PBX e soluzioni VOIP.

Descrizione Prodotto

Yeastar sviluppa e produce prodotti e soluzioni per sistemi collaborativi remoti.

Figura 1 – Yeastar N824

Technical summary

L’Offensive Security Team di Swascan ha rilevato un’importante vulnerabilità su: Yeastar  N412 e sul pannello di configurazione N824.

VulnerabilityCVSSv3.1Attack Vector
Account Takeover via restoring altered backup file9.8 CriticalAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nella sezione seguente si mostrano i dettagli tecnici della vulnerabilità, comprese le prove e un proof of concept. Questa vulnerabilità può condizionare centinaia di dispositivi connessi a Internet.

Descrizione

Nel pannello di configurazione di Yeastar  N412 e N824, un utente malintenzionato non autenticato può creare un file di backup e scaricarlo, rivelando l’hash di amministrazione e consentendo, una volta violato, di accedere all’interno del pannello di configurazione, altrimenti, sostituendo l’hash nell’archivio può ripristinarlo sul dispositivo.

È possibile lanciare l’attacco da remoto senza alcuna forma di autenticazione.

Proof of Concept

 Per ottenere l’acquisizione dell’account vengono eseguiti questi passaggi:

  1. Creazione di un file di backup non autenticato
  2. Scarica il file .tar creato
  3. Crack l’hash dell’amministratore all’interno dell’archivio e accedi al dispositivo o modifica l’archivio .tar sostituendo l’hash dell’amministratore
  4. Se non è stato possibile decifrare l’hash, è necessario caricare il nuovo file di backup modificato
  5. Ripristina il file di backup caricato
  6. Riavvia il dispositivo se necessario

Di seguito i dettagli sulle fasi di sfruttamento:

  1. Richiedere la creazione di un file di backup con un determinato nome.
Figure 2 – Richiesta non autenticata per creare un nuovo file di backup
Figure 3 – Risposta del file di backup della creazione

2. Scarica il file di backup appena creato.

Figura 4 – Richiesta di scaricare il file di backup appena creato
Figura 5 – Risposta con il file di backup allegato

3. All’interno della risposta precedente abbiamo trovato l’hash admin. Una volta ottenuto l’hash admin possiamo provare a decifrarlo, altrimenti possiamo modificare l’archivio e caricarlo sul dispositivo.

Figura 6 – Prova dell’hash per l’utente ‘admin’
Figura 7 – Caricamento del file modificato precedentemente sottoposto a backup

4. Quindi ripristiniamo il file di backup della configurazione caricato.

Figura 8 – Ripristino del backup

5.Se necessario, possiamo attivare un riavvio per ricaricare la configurazione con la nuova password.

Figura 9 – Attivazione del riavvio per ricaricare la configurazione

Impatto

Un utente malintenzionato potrebbe ottenere l’accesso al sistema remoto e inoltre abilitare la console ssh che ha una password di root predefinita una volta attivata ed eseguire comandi arbitrari sul sistema basato su Linux come utente root.

Remediation

L’Offensive Security Team di Swascan suggerisce di non distribuire il dispositivo direttamente su Internet, ma di configurare il dispositivo dietro una connessione VPN.

Disclosure Timeline

  • 04-03-2022: Vulnerabilità identificata
  • 08-03-2022: Vendor contattato via email (Prima volta, nessuna risposta)
  • 14-03-2022: Vendor contattato via email (Seconda volta, nessuna risposta)
  • 23-03-2022: swascan ha segnalato a CERT/CC
  • 28-06-2022: CERT/CC non riceve nessuna risposta dal Vendor
  • 07-07-2022: vendor contattato via email
  • 17-10-2022: Swascan pubblica la vulnerabilità
  • 20-01-2023: CVE assegnata CVE-2022-47732

Riferimenti

Press release: Swascan e Bitdefender annunciano una partnership tecnologica per i servizi SoC
Swascan Academy lancia la Terza Edizione del corso propedeutico alla certificazione CISSP!

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.