Reciente Vulnerabilidad de Elastix

La semana pasada se hizo publico una grave vulnerabilidad en uno de los paquetes de elastix en la pagina http://www.exploit-db.com/exploits/18659/ y en muy poco tiempo se tenia ya el programa que explotaba la vulnerabilidad.

Hoy me llego un correo del equipo de desarollo de elastix en el que recomiendan realizar una actualización con el siguiente comando:

 yum update freePBX

La vulnerabilidad encontrada ataca al paquete freepbx permitiendo ejecutar comandos remotamente. El exploit ya es publico y puede ser usado por la aplicación metasploit. Remotamente se podría ejecutar un simple "cat /etc/asterisk/sip_addicional.conf".

Se recomienda que los que tengan instalado elastix actualicen inmediatamente.