Grandstream電話の脆弱性とバックドア

Grandstreamの電話で発見したいくつかの深刻な脆弱性を共有したいと思います。

1.任意の構成を電話にダウンロードする

apiを調べるためにgxp21xxカラー電話のWebインターフェースを調べて、電話に設定をダウンロードするスクリプトに出会いました。これはscript / cgi-bin / upload_cfgです



他のスクリプトとは異なり、sessionidはこのスクリプトに渡されず、ファイルのみが転送されます。 curlによる簡単なチェックでは、実際に、このスクリプトを許可なく使用できることが示されました。

curl -i -F name="config.txt" -F file="@config.txt;type=text/plain" -H "Content-Disposition: form-data; name=file; filename=config.txt" http://xx.xx.xx.xx/cgi-bin/upload_cfg
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

config.txtファイルは、次の形式の一連のパラメーターを含むテキストファイルです：=

ファイルに1行「P2 = admin」を入力し、電話の管理者パスワードを変更します。その後、Webインターフェースにログインできます。



携帯電話には、壁紙、電話帳などを読み込むための同様のスクリプトがあります。



この脆弱性は、gxp2130、gxp2140、およびgxp2160電話に存在します。

2.電話設定のダンプ

次の脆弱性は最初の脆弱性よりもさらに深刻です。 電話へのルートアクセスを取得し、cgi-binのスクリプトを分析した後、すでに発見されています。



これはスクリプト/ cgi-bin / dumpsettingsで、その内容は次のとおりです。

 #!/usr/bin/haserl #!/bin/ash <? RESULT=`nvram show | grep -v :STR` HEADER="Content-Type: text/plain\r\n\r\n" HEADER="Expires: $(date)\r\n$HEADER" HEADER="Content-disposition: attachment; filename=settings.cfg\r\n$HEADER" HEADER="Cache-Control: no-cache, must-revalidate\r\n$HEADER" echo -en $HEADER echo "$RESULT" ?>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ご覧のとおり、この奇跡のスクリプトは単にnvram show | grep -v：承認のヒントのないSTR 。 また、nvramには、構成自体の他に、多くの興味深いパラメーターが含まれています。 そしてもちろん、すべてのパスワードがあります：adminアカウントとsipアカウント。



この脆弱性は、ゲートウェイを含むほとんどのグランドストリームデバイス（およびおそらくすべて）に存在します。

3.暗号化された構成

xml構成に加えて、プロビジョニング時に、電話機は暗号化されたテキスト構成を使用できます。 そのような構成を作成するためのユーティリティは、グランドストリームWebサイトからダウンロードできます。 このユーティリティを使用する際に最初に注意すべきことは、暗号化のためにパスワードを要求しないことです。 電話でprov_config_decユーティリティを使用して構成を復号化します。これには、復号化するためにポピーのみが必要です。 したがって、構成の復号化は問題ありません。 また、一部のVoIPプロバイダーは、暗号化の信頼性に自信があり、そのような構成をパブリックドメインに（顧客の電話をプロビジョニングするために）投稿します。 ケシのアドレスを並べ替えるだけで、アメリカのVoIPプロバイダーの1つは、SIPアカウントを含む約500の構成をダウンロードすることができました。

4.グランドストリームからのバックドア

ファームウェアでバックドアを検索することにしました。 dropbearバナーのリバースエンジニアリングは、キーを使用して、sshがadminユーザーだけでなく、rootユーザーでもログインできることを示しています。 公開鍵は、パス/rom/.ssh/authorized_keysに沿ってファームウェアに慎重に配置されます



そのため、秘密鍵の所有者はsshを介して安全にログインできます。 また、電話へのルートアクセスを取得すると、たとえば、会話を聞いたり、会話の外でも電話の周りで起こっていることだけを聞いたりすることができます。



これらの脆弱性は1つのアプリケーションではなく、次のようなものです。

• 一般的な盗難の一口アカウント
• 電話帳から発信者の名前を変更する
• トラフィックおよび傍受を傍受するためのSIPサーバーの置換
• たとえば、マイクからの録音や攻撃を行うために、電話システムに悪意のあるソフトウェアをダウンロードする

インターネット上で、上記の脆弱性が完全に悪用されるWebインターフェースを使用してインターネット上で検索する多数の電話を発見しました。



クローズド脆弱性を持つ新しいファームウェアを待ちたくない場合（Grand Streamからのサポートは非​​常に厳しい）、 ここで説明するように、ファームウェアから脆弱なスクリプトをカットできます 。