PT-2021-23137 · Unknown+1 · Freeswitch+1
Sandro Gauci
·
Publicado
2021-04-13
·
Atualizado
2023-10-08
·
CVE-2021-41157
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do FreeSWITCH anteriores à v1.10.6
Descrição
O problema diz respeito à falta de autenticação para solicitações SIP do tipo SUBSCRIBE no FreeSWITCH. Isso permite que invasores se inscrevam para receber notificações de eventos de agentes de usuário sem autenticação, o que levanta preocupações com a privacidade e pode levar a ataques de engenharia social. Por exemplo, invasores podem ser capazes de monitorar o status de ramais SIP alvo. As mensagens SIP SUBSCRIBE devem ser autenticadas por padrão, e os administradores do FreeSWITCH não deveriam precisar definir explicitamente o parâmetro
auth-subscriptions.Recomendações
Para versões anteriores à v1.10.6, atualize para a versão v1.10.6 ou posterior e certifique-se de que a configuração seja atualizada de acordo, pois as atualizações de software não atualizam a configuração por padrão.
Como solução temporária, considere definir o parâmetro
auth-subscriptions para habilitar a autenticação para mensagens SIP SUBSCRIBE.Exploit
Correção
Improper Authentication
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Freeswitch