http://webfault.org/ fr Wed, 25 Mar 2009 17:59:15 +0000 Copyright 2007 - Michael Vergoz http://blogs.law.harvard.edu/tech/rss Dotclear http://webfault.org/post/2008/03/25/Failles-critiques-sur-les-produits-VoIP-Linksys urn:md5:368f1ea7bed84b3007ab1f89a51c8fa9 Tue, 25 Mar 2008 06:17:00 +0000 Michael Vergoz Securité Buffer OverflowDenial Of ServiceDoSinutilisableIP-PBXLinksysSIPVoIP <p>Le 24.03.2008 à 04:53 (locale) un certain <a href="http://core.ifconfig.se/~core/?p=20">Sipher</a> envoi un mail sur la liste Bugtraq de <a href="http://securityfocus.com/">SecurityFocus</a> concernant un <a href="http://webfault.org/tag/Denial%20Of%20Service">Denial Of Service</a> sur le produit <a href="http://www.amazon.fr/Linksys-SPA2102-Phone-Adapter-Router/dp/B000GY8ZKC">Linksys SPA-2102</a>.</p> <p>Après quelque minutes de réflection je pars dans des tests locaux sur un téléphone <a href="http://www.linksys.com/servlet/Satellite?c=L_Product_C2&amp;childpagename=US%2FLayout&amp;cid=1139435695017&amp;pagename=Linksys%2FCommon%2FVisitorWrapper&amp;lid=9501754250B01">Linksys SPA-942</a> (version du firmware : 1.0.1(7817)) que je possede.</p> <p>Un simple PING forgé avec un nombre de données égal à 65500 permet d'effectuer un <a href="http://webfault.org/tag/DoS">DoS</a> sur le matériel <a href="http://webfault.org/tag/VoIP">VoIP</a>.</p> <p><code>ping -s 65500 ip_phone</code></p> <p>Sur le moment, il ne se passe rien. Puis après quelque secondes l'interface web du téléphone commence à ne plus me répondre... Surpris, je commence à regarder si les fonctions du téléphone sont encore disponible et là pareil, impossible de passer ou de recevoir un appel !</p> <p>Même après un reboot hard du téléphone impossible de passer des appels et impossible de se connecter sur l'interface web.</p> <p>Au niveau réseau, le téléphone arrive à s'autentifer une fois sur le serveur <a href="http://webfault.org/tag/IP-PBX">IP-PBX</a> mais après quel secondes il ne répond plus aux requêtes <a href="http://webfault.org/tag/SIP">SIP</a> (notify, invite ...)</p> <p>Bilan, cette commande ne génère pas qu'un Denial Of Service mais aussi un <a href="http://webfault.org/tag/Buffer%20Overflow">Buffer Overflow</a> !</p> <p>Je pense savoir à peut prêt les raisons pour lesquelles il déborde de la mémoire je ne vais pas étendre mes connaissances sur ce sujet. Tout ce que je peux dire c'est qu'il est possible de réinscrire la configuration du téléphone et qu'il est aussi possible d'écrire sur la mémoire type SSD du téléphone, c'est à dire écrire dans le noyau du téléphone pour par exemple exécuter un virus dans le téléphone. Concernant le type d'architecture je pense que c'est de l'ARM 3.</p> <p>Et même après quelque "Factory Reset" le téléphone reste <a href="http://webfault.org/tag/inutilisable">inutilisable</a>. Je vais voir pour le réinitialiser d'une autre façon.</p> <p>J'ai d'autre matériels du même type comme un SPA-3102 qui sont aussi vulnérables.</p> <p>Je ne sais pas ce que <a href="http://webfault.org/tag/Linksys">Linksys</a> a à dire mais le fameux <a href="http://core.ifconfig.se/~core/?p=20">Sipher</a> ne semble pas avoir respecté les règles du "Good disclosure" qui consiste à informer le Vendor avant de publier l'information.</p> <p>On verra comment tout cela ce goupille.</p> <p>- <a href="http://core.ifconfig.se/~core/?p=20">Annonce sur le blog de Sipher</a></p>