Хакер #305. Многошаговые SQL-инъекции
Устройство Avaya IP Office объединяет в себе PBX, функции передачи голоса и обработки данных, доступ в Интернет и удаленный доступ, встроенный концентратор, маршрутизатор и межсетевой экран. В программе обнаружено несколько уязвимостей (DoS, слабое шифрование, обход SNMP идентификации и возможность изменения HoldMusic):
1) При попытке обработать некорректные запросы к 53 порту (и возможно другим), устройство зависнет.
2) Для конфигурирования Argent Office используется необычная TFTP имитация. Например для перезагрузки устройства, нужно запросить через TFTP следующий файл:
nasystem/rebootwhenfree/00e007002666/password//
Где 00e007002666 - адрес MAC модуля, и password - пароль. Так как этот пакет легко перехватывается, и алгоритм для пароля не изменяется, любой пользователь со сниффером может легко получить административные привилегии.
Механизм создания пароля довольно прост:
main(int argc,char **argv)
{
int i;
unsigned char buf[32];
strcpy(&buf,argv[1]);
for (i=0;i<strlen(argv[1]);i++)
printf("0x%2.2X ",buf[i]+0x11-i);
printf("\n");
}
Show the hex values for the password 'idiocy':
~$ ./argent_obfuscate idiocy
0x7A 0x74 0x78 0x7D 0x70 0x85
3) Некоректная обработка SNMP идентификации:
программа использует SNMP идентификацию следующим образом:
if (strncmp(n,c,strlen(n))==0) { ok, valid community}
Где c - community строка, и n - community строка от сети. Т.е. когда размер пакета равен нулю, идентификация всегда проходит успешно.
4) Широковещательные TFTP запросы: система по умолчанию запрашивает файл HoldMusic используя TFTP широковещательный адрес. Т.е. любой пользователь может изменить этот файл.
Уязвимость обнаружена в Avaya IP Office Firmware 1.0.