Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 45, views: 28.006 •

Ip-telefoons van Cisco kunnen op afstand worden benaderd, waarna aanvallers hun eigen malware kunnen installeren. Daardoor kan de telefoon bijvoorbeeld worden afgeluisterd, zo maakten onderzoekers bekend tijdens de CCC-beveiligingsconferentie in Hamburg.

Cisco ip-telefoonHet besturingssysteem van ip-telefoons van Cisco in de 7900-serie bevat meerdere beveiligingsproblemen die het mogelijk maken om de telefoons te hacken. Dat zeiden studenten van Columbia University in New York tijdens de CCC-conferentie, waar Tweakers aanwezig is.

"Je kunt daardoor je eigen software op de telefoon zetten", zegt hoogleraar Salvatore Stolfo in een interview met Tweakers. Hij begeleidt het onderzoek van de studenten. "Het openhouden van een telefoonverbinding is daarvoor niet vereist", aldus Stolfo. Omdat de telefoons zijn aangesloten op het netwerk, kan de audio via een normale netwerkverbinding worden doorgestuurd. Ook het bellen van dure 0900-nummers behoort volgens Stolfo tot de mogelijkheden.

De onderzoekers demonstreerden dat het mogelijk is om met fysieke toegang tot het apparaat malware op een Cisco-ip-telefoon te plaatsen, door de malware via de stekker-ingang te uploaden. Fysieke toegang is volgens Stolfo echter geen vereiste. "Wat we niet demonstreerden, maar wat wel mogelijk is, is het uploaden van malware over het netwerk", aldus Stolfo. Als een Cisco-telefoon bereikbaar is via het internet, is het toestel dus ook te hacken. De onderzoekers bouwden bovendien een worm die zich van telefoon naar telefoon verplaatst: er hoeft dan maar één Cisco-telefoon op een netwerk worden gehackt, waarna de malware zich vanzelf verder verspreidt.

Een van de belangrijkste kwetsbaarheden die de onderzoekers gebruikten om de telefoon te hacken, is een fout in de kernel van Cisco's eigen Unix-distributie. Cisco heeft volgens Stolfo geprobeerd om dat beveiligingsprobleem op te lossen, maar is daar niet in geslaagd. "Ze hebben het echte beveiligingsprobleem niet opgelost, maar enkel de specifieke exploit geblokkeerd." Bovendien maakt de 'patch' een denial of service mogelijk: wie op een gepatcht toestel probeert om het beveiligingsprobleem te misbruiken, laat het apparaat crashen.

Volgens Stolfo houdt het echter niet op bij dit specifieke beveiligingsprobleem: er schort wat hem betreft veel aan het protocol dat Cisco gebruikt en de architectuur van de telefoons. Stolfo hekelt daarnaast het feit dat Cisco niet bereid was tot samenwerking met het onderzoeksteam. "Ik snap niet zo goed waarom ze dat niet wilden", zegt Stolfo. "In het verleden heeft onze afdeling ook apparaten van HP gehackt en daar hebben we gewoon een goed samenwerkingsverband mee."

De hoogleraar stelt dat er over het algemeen te weinig aandacht uitgaat naar de beveiliging van embedded devices, zoals telefoons en printers. "Er is veel aandacht voor de beveiliging van servers, maar de end user devices zijn kwetsbaar. Daarnaast is er geen infrastructuur om beveiligings-updates uit te rollen", zegt Stolfo. "Jij hebt waarschijnlijk Windows of OS X, waarbij updates automatisch worden geïnstalleerd. Zoiets bestaat niet voor embedded devices. Wie zoiets opzet, zou daar veel geld mee kunnen verdienen."

Reacties (45)

Zulke informatie zal hier zeker niet gedeeld worden.
Nee, duhh maar ik zie nergens een link met dat het werkt. Ik weet dat tweakers met de microsoft store hack een screenshot met zwarte lijntjes heeft gepost, iets waar uit blijkt dat de boel werkt.

Ik kan ook wel gaan roepen, ja ik kan dat en dat hacken en vervolgens geen bewijs brengen. Een filmpje zou wel naar mijn inziens goed bewijs zijn...

[Reactie gewijzigd door Just_Michel op 28 december 2012 13:01]

Ik zat er gisteren bij; er was gewoon een live demo voor onze neus. Keihard bewijs dus ;).
Ja, dat kan ik ook zeggen... Die youtube link hieronder invoegen voegt op zich wel wat toe ;)
Call managers kunnen gesprekken al afluisteren alleen moeten ze daar wat centjes voor neer leggen om de software aan te schaffen.
Hacken is dus helemaal niet nodig, wat mij wel handig lijkt is extra functionaliteit toe te voegen die Cisco achter houd bij verschillende series.
Daarnaast is het ook eenvoudig om de toestel firmware te updaten. Dus als er een (goede) patch is is deze makkelijk uitgerold, die infrastructuur is er wel degelijk
Ik vind dit zeer hinderlijk, de meeste bedrijven met een callcenter gebruiken dergelijke telefoons. Maar nu wordt er door de bedrijven zelf helaas ook veel opgenomen voor zogenaamde trainings doeleinden, waar ik het niet altijd mee eens ben.
Men zegt dat het voor trainingsdoeleinden is maar in sommige gevallen is het om audiobestanden te mixen waardoor je in een gesprek met een energieleverancier een keer "ja" hebt gezegd op een logische vraag. Hiermee wordt geknutseld zodat ze jou een contract in de maag kunnen splitsen. Het zou handiger zijn dat telefoons zelf over opnamemogelijkheden beschikken. IP-telefoons doen dit meestal op een server. Een bedrijf waarvoor ik heb gewerkt werkte met Xelion, hierin werden alle gesprekken opgenomen en waren ze terug te beluisteren door de admin en de gebruiker zelf. Wél handig om terug te horen wat je afgesproken hebt én hoe je een volgende keer een gesprek zou kunnen voeren.

De uitspraak van Stolfo ben ik het wel mee eens. Er wordt van alles gedaan om servers enigszins dicht te timmeren maar de apparaten die gebruikers moeten hanteren daar schort van alles aan. Er komen steeds meer apparaten in omloop, en steeds meer waar een heleboel mankeert als het op dit soort veiligheid aan komt.
en dit geloof je zelf ook ?
Een gesprek zo mixen dat je ja zegt tegen een contract is gewoon keihard fraude wat zwaar bestraft (zou moeten) wordt.

Maar er zou meer gedaan moeten worden om dit soort apparaten van updates te blijven voorzien.
inderdaad. maar ik geloof niet dat er bedrijven zijn die dit serieus doen
Ook niet om het een of ander, maar kunnen die telefoons dit niet standaard al om nieuwe firmware uit te rollen vanaf de server? Dat gebeurd niet automatisch maar zal door administrators vast wel kunnen.
in principe wel. Die dingen booten vanaf een TFTP server, en zoeken daarbij een configfile ( <(deel)MAC-Adres>.xml|cnf), waarbij staat welke firmware ze moeten hebben.

In principe is het een kwestie van 's nachts een script draaien waarbij je via telnet (ja, heus) inlogt op iedere telefoon met de juiste username/password ( default: cisco) en de telefoon een reboot geeft.

5 minuten later is het ding dan weer online, met een nieuwe firmware.

althans, zo werkt het op mijn 7960.
Dit dacht ik ook. Die dingen booten altijd TFTP. Waarschijnlijk bedoelen de schrijvers dan iets van; administrators moeten nog wel zelf eerste de firmware van Cisco binnenhalen en klaarzetten. Er is blijkbaar geen automatisch update-mechanisme op dat vlak?

Bij professionele organisaties zal dit wat makkelijker meegenomen worden in de algemene patch- en security-beheerprocedures. Bij een MKB'er, als het niet volautomatisch uit te voeren valt, zal het tussen de kieren doorglippen.
Hoeft niet perse doormiddel van telnet.
Ik heb ervaring met PBX-software dat dit zelf kan regelen door reboot en tftp-data laden op de telefoon zelf.
Daarnaast zijn er tal van opties om dit netjes te beheren alleen de beveiliging van de telefoons zelf valt vaak tegen. Probeerde zo eens de Eigen certificaten authoriteit te gebruiken voor het uitrollen van certificaten voor de telefoons. Blijkt dit niet te willen want Cisco gebruikt zijn eigen certificatensysteem doormiddel van mini-certificaten gemaakt door een tool.
Het argument cisco/cisco of admin/admin combi als inloggegevens vindt ik weer flauw want ik neem aan dat men dit in of de profielen of de firmware direct aanpast.

Wel jammer om te horen dat de exploits niet verholpen zijn maar een crash veroorzaakt. Heb hier thuis een Cisco staan die ook crashed/freezed na paar dagen maar dat staat hier weer los van.
Het klopt deels, deze dingen kunnen firmware binnen halen door middel van TFTP.
Op de TFTP server worden configuratie bestanden geplaatst waaronder:

1. "<(deel)MAC-Adres>.xml|cnf)" device gebonden
2. general config

In de general config plaats je veelal een ip adres van de TFTP server binnen het netwerk, de VOIP server binnen het netwerk en meer. Deze instellingen neemt het apparaat over.

Waar het dus op neer komt, als bedrijven binnen de configuratie niet hebben opgegeven dat er een vast ip adres van de TFTP server is, zijn ze via deze methode kwetsbaar inderdaad.
Ook zet je in de general config de wachtwoorden die je in het netwerk gebruikt, elk fatsoenlijk bedrijf dat de VOIP verzorgt past de wachtwoorden dus ook aan. Telnet zetten wij standaard uit in de general config.
Je kunt het ook zeer eenvoudig middels SNMP.
Een rogue TFTP-server is overigens ook een goede optie om telefoons van malware te voorzien. Vooropgesteld dat snooping niet geimplementeerd is, maar dat is in mijn ervaring vrijwel nergens het geval.

Het wachten is dan ook op malware die vanaf een smartphone op de VoIP-telefoons wordt losgelaten. Het BYOD (Bring Your Own Device) is in veel organisaties al gemeengoed, terwijl er maar weinig bedrijven zijn die hun security daarop hebben aangepast. Er wordt teveel gekeken naar aanvallen van buitenaf, maar de binnenkant is veel belangrijker. Dat is niet alleen een kwestie van budgetten, maar voor een groot deel ook een kwestie van tunnelvisie.
Ik ben zelf bezig om iets van fingerprinting op te zetten. Dat werkt tweeledig: herkende devices komen automagisch in het juiste VLAN, terwijl aliens in een afgesloten gedeelte komen. Dat kost overigens niet veel en kan een enorm verschil maken.

Overigens heeft Cisco daar hele fraaie oplossingen voor (die wel flink wat duiten kosten, maar dat er zijde). Aruba Networks kan er ook wat van. Geďnteresseerden zouden daar eens naar moeten kijken. Beter nu dan straks, want fingerprinting wordt de volgende hype. Is goed geld mee te verdienen, als network administrator :)
Jazeker: Kwestie van nieuwe software op de TFTP-server, de telefoon resetten, IP-adres van de TFTP-server meegeven in het DHCP-antwoord en je telefoon is even later geupgrade.

Althans: zo zou het werken als de kwetsbare telefoons nog onder support zouden vallen hetgeen volgens mij voor het leeuwendeel niet zo is.
Toestellen uit deze serie staan maar over de hele wereld. Niet zo'n groot probleem. :')
De hamvraag is natuurlijk, wat kan je doen om dit tegen te gaan. Vooral in grote bedrijven zijn niet alle toestellen altijd binnen het zicht. Dat lijkt me een probleem.
Als je er een worm op installeert die naar andere telefoons zoekt en een van die telefoons praat ipv6 dan heb je dus een redelijk probleem. Dan gaat het waarschijnlijk ineens heel snel...
"Stolfo hekelt daarnaast het feit dat Cisco niet bereid was tot samenwerking met het onderzoeksteam."

Ik denk dat Cisco houdt van security through obscurity en als echt Amerikaans bedrijf zijnde ook houdt van security through threatening with lawsuits. Veel bedrijven,in het bijzonder die in de VS, vinden dat genoeg beveiliging.
Waar ik naar aanleiding van het artikel wel benieuwd over ben geworden: wat betekent "toegang op afstand". Moet je in dezelfde LAN zitten, met alle poorten beschikbaar? Of kun je dit ook, met slechts een beperkt aantal poorten open, vanaf het publieke internet doen?

Iets anders: die dingen booten toch via TFTP? En je hebt er een centrale voor nodig? Beveiligingsupdate mechanisme is dan toch triviaal te bouwen voor Cisco?
En de VS (nota bene aangespoord door Cisco!) maar klagen dat chinese netwerk/telecomapparatuur volzit met ingebouwde backdoors. Naast hypocriet snap ik niet dat een bedrijf als Cisco dan niet op z'n eigen veiligheid controleert, maar dat wel over anderen weet te suggereren.

Leuk voer voor alu-hoedjes (tegenwoordig lood, aluminium kan gebruikt worden als antenne en dan heeft het hoedje zelf een backdoor) verhalen.
iedere geleider kan werken als antenne. Lood dus ook.(geen beste geleider trouwens) Los van het gewicht van je hoed dus alleen zinvol tegen radioactieve straling ;)

En inderdaad, wie heeft nog Huawei nodig als de Cisco backdoors zo opvallen.
http://www.wantchinatimes...121028000015&cid=1102

[Reactie gewijzigd door SED op 28 december 2012 13:33]

De Cisco telefoons werken op basis van het TFTP protocol. Zodra te van stroom worden voorzien gaan ze roepen om software om te opstarten. De server bepaald het OS dus. Centraler uitrollen kan bijna niet.

Ook is er al alternatieve software beschikbaar om ze laten samenwerken met bijvoorbeeld de open source "Asterisk" PBX software. Ook wordt er dan gebruik gemaakt van het "standaard" SIP protocol ipv. het Cisco eigen VoIP protocol.

http://www.voip-info.org/wiki/view/Asterisk+phone+cisco+79xx
http://www.cisco-asterisk.com/

Uiteraard krijg is support krijgen van Cisco dan wat lastiger.

Maar dat er geld met alternatieve software te verdienen is begrijp ik. Maar met een centrale software update op Cisco telefoons is onzin.

Voor andere "embedded" systemen uiteraard wel. Voor thuis routers is vaak gelukkig DD-Wrt en OpenWRT. Maar over mijn printer/tv/etc. Maak ik meer zorgen.

Als hardware fabrikanten nou eens dat als basis, en open zijn over de aanpassingen, zouden gebruiken dan ben je ook niet meer afhankelijk van de hardware leverancies (vendor-lock in).

Meeste embedded systemen gebruiken Linux als basis (ja ook Android) maar. Geven je zelden de vrijheid om dingen 'op te lossen'. Vaak overtreden ze ook nog, de door Linux gebruikte licentie, GNU GPL, door aanpassingen niet kenbaar en reproduceerbaar te maken. Diefstal noemen we dat.

Voor de Linux kernel komen regelmaat updates uit ivm veiligheid. Ik zie maar zelden een update aan geboden.

Bovendien is een gespreide aanval, op kleinere kantoor apparaten, altijd effectiever. En bovendien kun je dan ongemerkt meeliften naar de 'zwaar' beveiligde servers op basis van echte gebruikers.

Nee Linux is niet de heilige graal. Maar de open gedachte werkt wel beter in het voorkomen van beveiligingsissues.

Edit
:X Oeps. Er helemaal nog geen custom firmware beschikbaar. Dat wordt hoog tijd! En nee ik heb de tijd en de resources niet.

[Reactie gewijzigd door falcon1 op 28 december 2012 13:56]

Ook het bellen van dure 0900-nummers behoort volgens Stolfo tot de mogelijkheden.
Niet echt. Het idee is dat dit in de CallManager is afgeschermd, en telefoons kunnen geen nummers bellen waar ze volgens CM geen rechten toe hebben. Er bestaat simpelweg geen route naar dergelijke nummers. Toestellen sturen alleen maar digits door, verder niets, dus ze kunnen restricties in de centrale niet omzeilen.
Als een Cisco-telefoon bereikbaar is via het internet, is het toestel dus ook te hacken.
Als een Cisco-telefoon bereikbaar is via het internet, heb je wel grotere problemen aan je hoofd, die zich niet tot de telefonie beperken.
Daarnaast is er geen infrastructuur om beveiligings-updates uit te rollen
Firmware voor Cisco phones wordt centraal door CallManager beheerd. Er is geen mogelijkheid om op het toestel zelf, buiten CM om, zelf firmware te updaten. Deze hack daargelaten, maar van wat ik begrepen heb, gaat het om het overschrijven van stukken geheugen van de telefoon, niet het vervangen van de firmware. Cisco gebruikt signed images voor de firmware, het wordt al een stuk lastiger om dat te hacken.

Ik kan niet ontkennen dat deze exploit bestaat, maar het is zeer goed mogelijk om deze exploit in te dammen. Er zijn genoeg methoden om het netwerk te beveiligen, zowel tegen attacks van binnen als van buiten. Veel bedrijven doen daar alleen niet aan, omdat het te duur is.

@Belgar: sorry, Cisco phones (zowel SCCP als SIP) versturen wel degelijk digit per digit. Pak wireshark er maar bij.

[Reactie gewijzigd door 19339 op 28 december 2012 16:04]

Dat toestellen alleen digits verzenden is onzin. Het is geen digitale telefonie maar voip. Overigens houdt het argument wel deels stand. De callserver zal als het goed is de meeste pogingen om dergelijke nummers te bellen afvangen.

De grap is dat deze telefoons volwaardige clients zijn en in principe dus elk type pakket en verbinding kunnen leggen. Je zou ze in principe ook in kunnen zetten voor een DoS aanval
Ik heb redelijk wat ervaring met Cisco telefoons (3x raden waar ik werk ;) ) en deel RefriedNoodle's mening 100%. Ze hebben wel degelijk een echte exploit gevonden, maar de real-life haalbaarheid is toch relatief beperkt.

Het verhaaltje over betaallijnen kunnen bellen hierdoor is inderdaad pure onzin. De routering van calls gebeurd op de Call Manager server zelf door de Digit Analysis engine. De telefoon heeft echt geen enkele kennis van het dialplan, PSTN gateways etc.. Zoals RefriedNoodle al zei, de telefoons sturen digit na digit naar de Call Manager server.

Dat je hierdoor potentieel de telefoons zou kunnen gebruiken als een soort van DDoS slaves klopt dan weer wel.

Ook even opmerken dat het over relatief oude telefoons gaat, de nieuwste generaties gebruiken een totaal ander OS. Anderzijds zijn het grootste deel van de telefoons in the field nog wel van deze types.
Ik heb redelijk wat ervaring met Cisco telefoons (3x raden waar ik werk )
- Je reverse-engineert toestellen van de concurrentie voor Juniper
- Je bent manager bij KPN (land-line division) en staat in voor het ontslag van de overbodig geworden collega's
- Linksys? :Y)
Ik heb redelijk wat ervaring met Cisco telefoons (3x raden waar ik werk ;) ) en deel RefriedNoodle's mening 100%. Ze hebben wel degelijk een echte exploit gevonden, maar de real-life haalbaarheid is toch relatief beperkt.

Het verhaaltje over betaallijnen kunnen bellen hierdoor is inderdaad pure onzin. De routering van calls gebeurd op de Call Manager server zelf door de Digit Analysis engine. De telefoon heeft echt geen enkele kennis van het dialplan, PSTN gateways etc.. Zoals RefriedNoodle al zei, de telefoons sturen digit na digit naar de Call Manager server.

Dat je hierdoor potentieel de telefoons zou kunnen gebruiken als een soort van DDoS slaves klopt dan weer wel.

Ook even opmerken dat het over relatief oude telefoons gaat, de nieuwste generaties gebruiken een totaal ander OS. Anderzijds zijn het grootste deel van de telefoons in the field nog wel van deze types.
Het klopt dat de Callmanger call routing (en dus ook restricties e.d.) regelt.

Echter toont de exploit aan dat het mogelijk is om eigen code door de telefoon uit te laten voeren. In de poc code hebben ze gekozen om de microfoon van de handset te activeren en een rtp stream op te zetten (en daarmee dus de telefoons "af te kunnen luisteren"). Maar, net als het "DDoS slave" voorbeeld dat je geeft, moet het dus ook mogelijk zijn om code te maken dat zelf een H323/SIP setup vanaf de telefoon naar de PSTN gateway regelt en dus een betaallijn gaat bellen. Gezien de telefoons waarschijnlijk in een trusted subnet van de pstn gateway zitten denk ik dat dat theoretisch best zou kunnen werken. Pure onzin is het dus niet...

Ik ben het met je eens dat de kans dat het irl misbruikt gaat worden klein is. Immers is er fysieke toegang tot de telefoon (via de aux poort) nodig of een mogelijkheid om de telefoon via SSH te benaderen.
Maar omdat er nog geen fix beschikbaar is, telefoons die end-of-life zijn (waarschijnlijk) niet gefixed worden en de workaround (het uitschakelen van ssh/aux port) niet op alle versies van callmanager mogelijk is, is het wel degelijk een serieus probleem (zeker als je bedenkt waar deze telefoons allemaal (kunnen) staan).

Daarnaast zul je de telefoons, zoals je zelf ook aangeeft, in het veld nog veel (en lang) aantreffen. De 5 serie (zoals de 7945 en 7965) is bv. nog relatief nieuw.... Ook de end-of-life telefoons zul je nog wel een tijd tegen komen vrees ik...

[Reactie gewijzigd door dirkie op 29 december 2012 00:16]

Maar, net als het "DDoS slave" voorbeeld dat je geeft, moet het dus ook mogelijk zijn om code te maken dat zelf een H323/SIP setup vanaf de telefoon naar de PSTN gateway regelt en dus een betaallijn gaat bellen. Gezien de telefoons waarschijnlijk in een trusted subnet van de pstn gateway zitten denk ik dat dat theoretisch best zou kunnen werken. Pure onzin is het dus niet...
Mee eens, maar een complete h.323 stack in een phone erbij hacken (Cisco phones kennen zelf geen h.323) vind ik wat vergezocht. Daarnaast kun je dit risico beperken door een accesslist op de PSTN gateway te zetten, aangezien telefoons geen enkele reden hebben om h.323 of sip met de gateway te praten. Hooguit sip in combinatie met SRST, maar dan zul je zowieso restricties op de gateway hebben, en kun je alsnog geen betaallijnen bellen.
telefoons die end-of-life zijn (waarschijnlijk) niet gefixed worden en de workaround (het uitschakelen van ssh/aux port) niet op alle versies van callmanager mogelijk is, is het wel degelijk een serieus probleem
Ook telefoons die EOL zijn zoals de 7961, krijgen nog steeds firmware updates van Cisco. Gezien de install base van deze toestellen, komt Cisco er ook niet mee weg om dit gat ongedicht te laten op oudere telefoons.

Ssh access is default uitgeschakeld. Oudere versies van CM hebben niet de optie om het aan of uit te zetten, maar hiervoor kun je een device pack installeren, een update van CM zelf is niet nodig.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013