Cisco alerta sobre brecha de seguridad en teléfonos IP

22 Feb 2007 en Software

La empresa informó que la seguridad en sus teléfonos IP podría estar en riesgo. Los hacers podrían burlar las protecciones para cambiar configuraciones o bien lanzar ataques tipo DoS (Denegación de Servicio o Denial of Service.)
La brecha atañe a dos modelos de Unified IP Conference Station de Cisco y son el modelo 7935 versión 3.2 (15) y el 7935 versión 3.3 (12). Además, afecta a seis modelos de Unified IP Phone: el 7906G, el 7911G, el 7941G, el 7970G y el 7971G. 
Una falla en la interfaz administrativa de Conference Station permite que ese dispositivo pueda ser administrado remotamente por un intruso sin autenticación ni interacción alguna con el usuario.
El vector de ataque es a través de TCP puerto 80, usado por la interfaz HTTP por defecto en el trabajo Web. Como las credenciales de los administradores son guardadas para el acceso remoto del dispositivo, un hacker puede acceder como administrador sin ingresar las credenciales de login.
Si ningún administrador accede al dispositivo vía la interfaz HTTP, no existe riesgo ya que la vulnerabilidad se origina en el rastro dejado en el caché. Cisco recomendó apagar y encender el dispositivo para resetearlo y protegerlo.
Los teléfonos IP también tienen vulnerabilidades que permiten a los usuarios locales autenticados ganar acceso administrativo a los mismos. Esta vulnerabilidad puede ser explotada remotamente con autenticación y sin interacción con el usuario. El hacker puede cambiar la configuración o lanzar ataques DoS.
El problema es que los teléfonos Unified IP tienen cuentas de usuarios por defecto y un password que se utiliza para el debugging. Debido a un error de implementación, esta cuenta no puede ser inhabilitada ni removida. Tampoco se puede cambiar su password. Una persona no autorizada puede ganar acceso remoto a un teléfono IP vulnerable y controlarlo.
Cisco abrió una página de alerta http://www.cisco.com/warp/public/707/cisco-air-20070221-phone.shtml y prometió liberar las correcciones, aunque no aclaró cuándo estarán disponibles.