-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Banalna podatność w systemie zarządzania telefonami IP (Avaya Aura). Uwierzytelnienie… User-Agentem :]

01 lutego 2023, 20:04 | W biegu | komentarze 4

Zazwyczaj telefony IP nie działają w całkowitej próżni – tzn. mogą z centralnego miejsca pobierać konfigurację, wysyłać tam swoje kopie zapasowe, …

Badacze ekipy AssetNote znaleźli prostą możliwość wykonania dowolnego kodu na takim „centralnym miejscu” (serwer Avaya Aura, a dokładniej: Avaya Aura Device Services (AADS)).

Wystarczyło następujące żądanie HTTP, które nie wymaga uwierzytelnienia:

Mamy tutaj:

  1. Metodę HTTP PUT, która umożliwia tworzenie plików na serwerze (treść pliku podajemy w HTTP body). Nie zawsze ta metoda jest dostępna. W tym przypadku była.
  2. Żeby wszystko zadziałało, należało jeszcze podać User-Agent jako AVAYA (tj. przedstawić się jako telefon IP ;). Wartość ta była zatwardowklepana ;) w konfiguracji serwera.
  3. Zabrakło jeszcze najważniejszego, czy stworzony plik PHP da się wykonać? Bardzo proszę:

Podatności zostały załatane.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Adminka

    Nie demonizowałabym ;-) Przynajmniej u nas VoIPowe telefony działają w wydzielonym VLANie, a do serwera łączą się przez router. Router ma static ARP, więc nie pozwoli na komunikację nieautoryzowanych urządzeń z serwerem. Owszem, MAC jest na naklejce na obudowie (czasem), ale kto miałby zaatakować? Znudzona księgowa? Strażnik? Oni nie wiedzą nawet, że telefon ma adres IP ;-)

    Odpowiedz
    • Strażnik

      Dobre 😂

      Odpowiedz
  2. Pawel

    Pani i Panowie, polecam – sprawdzajcie co tłumaczycie, podatność dotyczy już dawno nieużywanej funkcjonalności w Avaya Utility Serwerze, który jest częśćią AADS-a ale żaden z nich nie jest „centralnym miejscem ” dla Avaya Aura….

    Odpowiedz
    • „centralnym miejscem” w sensie jednym z serwerów, z którymi kontaktują się rozproszone telefony IP. Ale dla pewności dodaliśmy w newsie (a dokładniej: Avaya Aura Device Services (AADS))

      Plus dodatkowo załatali tę podatność (https://download.avaya.com/css/public/documents/101076366), więc zakładamy że gdyby to było „dawno nie używane”, to po co łatka?

      Odpowiedz

Odpowiedz