Se han descubierto múltiples puertas traseras durante una prueba de penetración en el firmware de un dispositivo de voz sobre Protocolo de Internet (VoIP) ampliamente utilizado de Auerswald, un fabricante de hardware de telecomunicaciones alemán, que podría abusarse para obtener acceso administrativo completo a los dispositivos.
«Se encontraron dos contraseñas de puerta trasera en el firmware de la PBX COMpact 5500R «, dijeron investigadores de RedTeam Pentesting en un análisis técnico publicado el lunes. «Una contraseña de puerta trasera es para el usuario secreto ‘ Schandelah ‘, la otra se puede usar para el usuario con mayores privilegios ‘ admin ‘. No se descubrió ninguna forma de desactivar estas puertas traseras «.
A la vulnerabilidad se le ha asignado el identificador CVE-2021-40859 y tiene una clasificación de gravedad crítica de 9,8. Tras la divulgación responsable el 10 de septiembre, Auerswald abordó el problema en una actualización de firmware (versión 8.2B) lanzada en noviembre de 2021. «La actualización de firmware 8.2B contiene actualizaciones de seguridad importantes que definitivamente debe aplicar, incluso si no necesita las funciones avanzadas «, la compañía dijo en un post sin hacer referencia directamente el tema.
PBX , abreviatura de intercambio de sucursales privadas, es un sistema de conmutación que sirve a una organización privada. Se utiliza para establecer y controlar llamadas telefónicas entre terminales de telecomunicaciones, incluidos los aparatos telefónicos habituales, destinos en la red telefónica pública conmutada (PSTN) y dispositivos o servicios en redes VoIP.
RedTeam Pentesting dijo que descubrió la puerta trasera después de que comenzó a examinar más de cerca un servicio que brinda Auerswald en caso de que un cliente pierda el acceso a su cuenta de administrador, en cuyo caso la contraseña asociada con una cuenta privilegiada se puede restablecer al comunicarse al fabricante.
Específicamente, los investigadores encontraron que los dispositivos están configurados para buscar un nombre de usuario codificado «Schandelah» además de «sub-administrador», la cuenta que es necesaria para administrar el dispositivo, según la documentación oficial . «Resulta que Schandelah es el nombre de una pequeña aldea en el norte de Alemania donde Auerswald produce sus dispositivos», dijeron los investigadores.
La investigación de seguimiento realizada por la empresa alemana de pruebas de penetración reveló que «la contraseña correspondiente para este nombre de usuario se obtiene concatenando el número de serie de la central, la cadena ‘r2d2’ y la fecha actual [en el formato ‘DD.MM.YYYY’ ], procesándolo con el algoritmo hash MD5 y tomando los primeros siete caracteres hexadecimales en minúscula del resultado».
En pocas palabras, todo lo que un atacante necesita para generar la contraseña para el nombre de usuario «Schandelah» es obtener el número de serie de la PBX, una información que se puede recuperar trivialmente utilizando un punto final no autenticado («https: //192.168.1 [ .] 2 / about_state «), lo que permite al mal actor obtener acceso a una interfaz web que permite restablecer la contraseña del administrador.
Además de eso, los investigadores dijeron que identificaron una segunda puerta trasera cuando se pasa el nombre de usuario administrativo «admin», para lo cual se deriva programáticamente una contraseña de respaldo utilizando el algoritmo mencionado anteriormente, con la única diferencia de que se agrega un código de país de dos letras como sufijo al cadena concatenada antes de crear el hash MD5. La contraseña alternativa, como en el caso anterior, proporciona acceso con privilegios completos a la central sin tener que cambiar la contraseña en primer lugar.
«Al usar la puerta trasera, los atacantes obtienen acceso a la PBX con los privilegios más altos, lo que les permite comprometer completamente el dispositivo», dijeron los investigadores. «Las contraseñas de puerta trasera no están documentadas. Coexisten en secreto con una función de recuperación de contraseña documentada respaldada por el proveedor».
Fuente: https://thehackernews.com
