Digium Asterisk até 13.0.0 Access Control List Elevação de Privilégios
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em Digium Asterisk até 13.0.0 e classificada como crítico. A função afetada é desconhecida do componente Access Control List. O tratamento leva a Elevação de Privilégios. Esta vulnerabilidade está registrada como CVE-2014-8412. O ataque pode ser feito a partir da rede. Nenhum exploit está disponível. É recomendado atualizar o componente afetado.
Detalhes
Uma vulnerabilidade foi encontrada em Digium Asterisk até 13.0.0 e classificada como crítico. A função afetada é desconhecida do componente Access Control List. O tratamento leva a Elevação de Privilégios. Declarar o problema usando CWE resulta em CWE-264. O problema foi divulgado 20/11/2014 por Andreas Steinmetz como AST-2014-012 como Aconselhamento (Site). O boletim está compartilhado para download em downloads.asterisk.org.
Esta vulnerabilidade está registrada como CVE-2014-8412. O CVE foi atribuído em 22/10/2014. O ataque pode ser feito a partir da rede. Detalhes técnicos não estão disponíveis. Esta vulnerabilidade tem popularidade abaixo da média. Nenhum exploit está disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O projecto MITRE ATT&CK declara a técnica de ataque como T1068.
A vulnerabilidade foi tratada como um exploit zero-day não público por pelo menos 26 dias. Como 0-day, o preço estimado no mercado negro era cerca de $0-$5k. O plugin de ID 79403 é fornecido pelo scanner de vulnerabilidades Nessus. Foi atribuído à família FreeBSD Local Security Checks. Está se baseando na porta 0.
A atualização para a versão 1.8.32.1, 11.14.1, 12.7.1 e 13.0.1 pode solucionar este problema. É recomendado atualizar o componente afetado. O comunicado contém a seguinte observação:
The ACL code has been amended to compare the incoming packet's source address family against the address families for all rules.
Esta vulnerabilidade também foi registrada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 71218), X-Force (98863), SecurityTracker (ID 1031245), Vulnerability Center (SBV-47478) e Tenable (79403).
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.digium.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 5.3VulDB Meta Pontuação Temporária: 4.6
VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 4.6
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Classe: Elevação de PrivilégiosCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não provado
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 79403
Nessus Nome: FreeBSD : asterisk -- Multiple vulnerabilities (a92ed304-716c-11e4-b008-001999f8d30b)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Port: 🔍
OpenVAS ID: 18627
OpenVAS Nome: Gentoo Linux Local Check: https://security.gentoo.org/glsa/201412-51
OpenVAS Ficheiro: 🔍
OpenVAS Família: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Atualização: Asterisk 1.8.32.1/11.14.1/12.7.1/13.0.1
Linha do tempo
22/10/2014 🔍25/10/2014 🔍
20/11/2014 🔍
20/11/2014 🔍
20/11/2014 🔍
20/11/2014 🔍
21/11/2014 🔍
24/11/2014 🔍
24/11/2014 🔍
24/11/2014 🔍
09/12/2014 🔍
27/02/2022 🔍
Fontes
Fabricante: digium.comAconselhamento: AST-2014-012
Pessoa: Andreas Steinmetz
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2014-8412 (🔍)
GCVE (CVE): GCVE-0-2014-8412
GCVE (VulDB): GCVE-100-68257
X-Force: 98863 - Asterisk IP address security bypass, Medium Risk
SecurityFocus: 71218 - Multiple Asterisk Products Access Control List Security Bypass Vulnerability
SecurityTracker: 1031245 - Asterisk IP Address Checking Flaw Lets Remote Users Bypass Access Controls in Certain Cases
Vulnerability Center: 47478 - Asterisk Open Source and Certified Asterisk Remote Security Bypass via a Packet, Medium
Veja também: 🔍
Entrada
Criado: 24/11/2014 09h26Atualizado: 27/02/2022 07h19
Ajustamentos: 24/11/2014 09h26 (76), 24/12/2017 09h37 (11), 27/02/2022 07h13 (2), 27/02/2022 07h19 (1)
Completo: 🔍
Cache ID: 216:1F0:103
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.