Месяц назад известный хакер HD Moore рассказал, что через интернет можно найти тысячи устройств для проведения видеоконференций, буквально открытых всему миру. Многие серийные модели изначально сконфигурированы на автоматический приём входящих вызовов — функция Auto-answer. Это делается для удобства участников конференции, которые зачастую присоединяются к ней из-за пределов корпоративной сети. Но в то же время, зная IP-адрес и порт устройства, скрытно присоединиться к «разговору» может и злоумышленник. Установив соединение, хакер получает возможность дистанционно управлять видеокамерой в комнате для конференций, зуммировать изображение. Причём камеры и микрофоны там установлены очень качественные, так что теоретически можно прослушивать конфиденциальные переговоры, которые ведутся в комнате, и просматривать секретные документы на столе.
Самое неприятное, что видеоконференции в последнее время стали чрезвычайно популярны во многих корпорациях, и поэтому такое оборудование используется практически повсеместно.
Чтобы облегчить системным администраторам поиск уязвимостей в корпоративном оборудовании, американская компания Qualys выпустила open source инструмент для быстрого анализа конкретного IP-терминала на безопасность конфигурации: auto-detect.py.
В сопроводительной документации специалисты Qualys вкратце объясняют, как работает протокол H.323 для видеоконференций, стек которого изображён на схеме.
Стек H.323
В стеке H.323 используется сигнальный протокол Q.931 для установления и контроля соединения. Когда соединение по Q.931 успешно установлено, инициируется начало видеоконференции. Ниже показано, как устанавливается соединение Q.931:
1. Абонент A посылает сообщение SETUP абоненту Б.
2. Абонент Б посылает сообщение ALERTING абоненту A, сообщая о сигнализации входящего вызова.
3. Абонент Б отвечает на звонок и посылает сообщение CONNECT абоненту А.
После установления соединения по Q.931, оба абонента А и Б могут начать видеоконференцию. Если у абонента Б включена функция Auto-answer (собственно, в чём и есть суть уязвимости), то абонент Б автоматически отправляет сообщение CONNECT без этапа ALERTING, инициируя сессию видеоконференцсвязи и не активируя индикатор входящего вызова.
Инструмент auto-detect.py работает просто: указываете IP-адрес и порт — и запускаете скрипт, как показано на скриншоте. Программка также показывает дополнительную информацию об исследуемом IP-видеотерминале, как Manufacturer ID и Product ID.
Скрипт устанавливает TCP-соединение и отправляет сообщение SETUP по Q.931, а далее проверяет, что приходит в ответ: или ALERTING, или CONNECT. На основании этого факта и делается вывод о состоянии ON/OFF функции Auto-answer.
P.S. Не совсем понятно, зачем специалисты Qualys писали этот скрипт, если уже вышел соответствующий модуль для Metasploit.
