文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

意大利电信公司发现爱立信运营系统(OSS-RC)的两个漏洞

2024-12-02 18:50

关注

意大利电信公司TIM的漏洞研究部门Red Team Research (RTR) 发现了2个影响爱立信 OSS-RC 的新漏洞。TIM RTR已向爱立信报告了这些漏洞。

据悉,这2个漏洞均存在 18B 及更早版本的 OSS-RC 系统中,升级后的系统使用新的爱立信库浏览工具 ELEX可以规避掉类似漏洞。

让我们来看看当一条新电话线被激活时客户端的情况:CRM系统收到了用户请求数据,OSS进行自动化的网络配置,允许电信运营商自动执行此过程并执行网络管理操作如更新城市建筑物上的基带系统。

运营支持系统 - 无线电核心 (OSS-RC) 为无线电和核心组件提供了一个集中接口,网络通信集成服务提供商可以通过这一接口访问所有的系统。不幸的是,OSS系统也代表了“单点故障”,意味着OSS的远程代码执行(RCE)漏洞可能允许攻击者危及包括基带在内的所有连接系统。

TIM作为领先的零日漏洞研究公司,过去两年,TIM RTR实验室发现了60多个零日漏洞,其中4个漏洞CSSV 得分为 9.8。自2001年以来向供应商报告的漏洞清单中,被列入美国国家漏洞数据库的数量有10个,TIM报道了其中2个。

以下是TIM RTR项目官网发布的2个漏洞信息:

CVE-2021-32569

在 18B 及更早版本的 OSS-RC 系统中,在ALEX 下浏览库会受到跨站脚本的约束,在爱立信网络管理器(OSS-RC客户升级到的新一代OSS系统)等系统中使用新的爱立信库浏览工具 ELEX可以规避掉这一问题。

漏洞描述: Improper Neutralization of Input During Web Page Generation (‘Reflected Cross-site Scripting’). – CWE-79 Software Version: <=18B NIST: https://nvd.nist.gov/vuln/detail/CVE-2021-32569 CVSv3: 6.1 Severity: Medium Credits: Alessandro Bosco, Mohamed Amine Ouad, Massimiliano Brolli

CVE-2021-32571

在 18B 及更早版本的 OSS-RC 系统,包含用户名及密码的文件并未随着数据迁移得到清理,而是被遗留在仅限顶级特权账户访问的文件夹中。

漏洞描述: Incomplete Cleanup. – CWE-459 Software Version: <=18B NIST: https://nvd.nist.gov/vuln/detail/CVE-2021-32571 CVSv3: 4.9 Severity: Medium Credits: Alessandro Bosco, Mohamed Amine Ouad, Massimiliano Brolli

在这一历史时期,对漏洞挖掘者进行道德规范显得特别重要。例如要求正义黑客一旦发现没有记录的漏洞,必须立即报告给供应商,以免对公共信息系统造成威胁。

参考来源:https://securityaffairs.co/wordpress/123764/security/ericsson-oss-rc-flaws.html

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯