PT-2021-21740 · Unknown+1 · Freeswitch+1
Andywolk
·
Publicado
2021-10-25
·
Atualizado
2023-10-08
·
CVE-2021-37624
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do FreeSWITCH anteriores à 1.10.7
Descrição
O problema diz respeito à falta de autenticação para solicitações SIP MESSAGE no FreeSWITCH, o que pode levar ao envio de spam e à falsificação de mensagens. Por padrão, as solicitações SIP do tipo MESSAGE não são autenticadas, permitindo que invasores enviem mensagens para qualquer agente de usuário SIP registrado no servidor sem a necessidade de autenticação. Isso pode possibilitar ataques de engenharia social, phishing e similares. Os mantenedores recomendam que esse tipo de mensagem SIP seja autenticado por padrão.
Recomendações
Para versões anteriores à 1.10.7, atualize para a versão 1.10.7 para resolver o problema. Como solução temporária, considere definir o parâmetro
auth-messages como true para habilitar a autenticação para solicitações SIP MESSAGE. Restrinja o acesso ao endpoint SIP MESSAGE para minimizar o risco de exploração. Evite confiar na configuração padrão e configure explicitamente a autenticação para solicitações SIP MESSAGE.Exploit
Correção
Improper Authentication
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Freeswitch