安全研究人员在Avaya制造的企业VoIP桌面电话的流行模型中发现了一个关键的远程代码执行漏洞。该漏洞使黑客能够完全控制设备,收听电话,甚至将手机变成间谍设备。
这个问题是由安全公司McAfee的研究人员发现的,并于周四在拉斯维加斯的DEF CON安全会议上公布。但是,固件更新自6月25日起可用。
该漏洞位于DHCP服务中,允许设备自动获取网络上的IP地址。攻击者可以通过向设备发送恶意修改的DHCP响应来利用它,这些设备不需要身份验证,并且可以通过网络的合法DHCP服务器赢得竞争条件。
该缺陷是缓冲区溢出,可导致使用root权限执行代码。这意味着攻击者可以完全控制手机的操作系统,可以执行任何操作,包括欺骗呼叫,更改用户在显示屏上看到的消息,打开音频呼叫或打开内置麦克风以窥探附近的对话。
“有很多不同的攻击媒介,但我们认为最有趣的是基于麦克风的窥探攻击,这就是我们用来构建演示的内容,”迈克菲高级威胁研究主管Steve Povolny告诉CSO 。
易受攻击的设备型号
McAfee团队发现并确认了Avaya 9600系列IP Deskphone上的漏洞。但是,根据Avaya的建议,J100系列IP电话和B100系列会议电话也受到影响。
只有运行固件版本6.8.1及更早版本且配置了H.323信令而非SIP的电话才会受到影响。该公司建议用户升级到固件版本6.8.2或更高版本。幸运的是,可以从中央服务器管理这些设备,因此可以自动部署更新。
旧的无法维护的代码有问题
事实证明,该漏洞实际上已在十年前在dhclient中得到修补,dhclient是Avaya在其固件中使用的开源组件。问题是,在十年前分发开源代码之后,该公司没有更新它或从上游反向安装补丁。因此,Avaya手机使用的是2007年的dhclient版本。
这是许多嵌入式设备和专有软件项目的常见问题,这些项目通常严重依赖于开源代码和库。过去的研究表明,许多公司和设备制造商都没有跟踪哪些版本的开源库被使用,这意味着他们也没有跟踪后来在这些项目中发现和修复的安全问题。
在本周Black Hat关于企业SSL VPN漏洞的另一场演讲中,研究人员发现,顶级供应商的VPN设备使用的是过时的数据解析库,甚至是2002年的Apache Web服务器版本。好消息是现在增加了努力创建有助于公司维护软件物料清单的标准,这有助于解决其中的一些问题。