Устройство Avaya IP Office объединяет в себе PBX, функции передачи голоса и обработки данных, доступ в Интернет и удаленный доступ, встроенный концентратор, маршрутизатор и межсетевой экран. В программе обнаружено несколько уязвимостей (DoS, слабое шифрование, обход SNMP идентификации и возможность изменения HoldMusic): 

1) При попытке обработать некорректные запросы к 53 порту (и возможно другим), устройство зависнет. 

2) Для конфигурирования Argent Office используется необычная TFTP имитация. Например для перезагрузки устройства, нужно запросить через TFTP следующий файл: 

nasystem/rebootwhenfree/00e007002666/password// 

Где 00e007002666 — адрес MAC модуля, и password — пароль. Так как этот пакет легко перехватывается, и алгоритм для пароля не изменяется, любой пользователь со сниффером может легко получить административные привилегии. 

Механизм создания пароля довольно прост: 

main(int argc,char **argv)
{
int i;
unsigned char buf[32];
strcpy(&buf,argv[1]);
for (i=0;i<strlen(argv[1]);i++)
printf("0x%2.2X ",buf[i]+0x11-i);
printf("\n");
}

Show the hex values for the password ‘idiocy’:
~$ ./argent_obfuscate idiocy
0x7A 0x74 0x78 0x7D 0x70 0x85

3) Некоректная обработка SNMP идентификации:
программа использует SNMP идентификацию следующим образом: 

if (strncmp(n,c,strlen(n))==0) { ok, valid community} 

Где c — community строка, и n — community строка от сети. Т.е. когда размер пакета равен нулю, идентификация всегда проходит успешно. 

4) Широковещательные TFTP запросы: система по умолчанию запрашивает файл HoldMusic используя TFTP широковещательный адрес. Т.е. любой пользователь может изменить этот файл. 

Уязвимость обнаружена в Avaya IP Office Firmware 1.0.



Оставить мнение