В стационарных телефонах Avaya нашли RCE-уязвимость
ИБ-исследователи обнаружили критическую уязвимость удаленного выполнения кода (RCE) в стационарных IP-телефонах производства компании Avaya, которыми пользуются 90% компаний из списка Fortune 100. Баг дает злоумышленникам возможность перехватить контроль над устройством, прослушивать звонки и даже превращать телефон в «жучок» для отслеживания и записи всего происходящего в помещении.
Ошибка, получившая идентификатор CVE-2009-0692, содержалась в DHCP-клиенте с открытым исходным кодом, который Avaya использовала в своих прошивках. В общедоступной версии клиента баг нашли и исправили еще десять лет назад. А вот в продукции Avaya код до сих пор оставался непропатченным.
Уязвимость присутствует в IP-телефонах серий 9600 и J100, а также в устройствах для конференц-связи B189. Исследователи отмечают, что проблема затрагивает только модели с программным стеком H.323 и не влияет на телефоны, в которых используется SIP.
DHCP-клиент отвечает за сетевые настройки устройства: IP-адрес, маску подсети и т. д. Если злоумышленник, находящийся в одной сети с жертвой, перехватит коммуникацию клиента с DHCP-сервером и отправит ему вредоносный ответ, устройство может аварийно завершить работу или выполнить произвольный код с максимальными привилегиями. В результате атакующий может полностью перехватить контроль над операционной системой телефона. Ошибка получила максимальные 10 баллов по шкале CVSS. Кроме того, эксплойт для этой уязвимости уже несколько лет доступен в Интернете.
Компания Avaya опубликовала обновление для своих устройств 25 июня. Исследователи дали системным администраторам более месяца на установку новой прошивки и рассказали о своей находке только 8 августа на международной конференции Black Hat USA в Лас-Вегасе.
«В крупных корпорациях довольно часто сначала проводится фаза тестирования, когда новый образ устанавливают на отдельных устройствах, чтобы убедиться, что апдейт ни с чем не конфликтует. Именно поэтому процесс установки патча на всем предприятии может занять больше времени, чем процесс обновления программного обеспечения, рассчитанного на массового потребителя», — отметил исследователь Филипп Лолэр (Philippe Laulheret).
Источник: https://threatpost.ru/avaya-deskphones-vulnerable-to-10-years-old-rce-bug/33732/