Grandstream, 4 failles trouvées dans les adaptateurs ATA

De multiples vulnérabilités de haute gravité dans la série Grandstream HT800 d’adaptateurs téléphoniques analogiques (ATA) menacent les utilisateurs. Ces failles peuvent causer des pannes, permettre de mettre en place des écoutes et de prendre le contrôle des appareils.

La série HT800 d’ATA est conçue pour tout le monde, les particuliers ou les petits bureaux jusqu’aux entreprises de taille moyenne, qui cherchent à connecter leurs appareils téléphoniques analogiques à un réseau VoIP, un système de communications unifiées ou une autre infrastructure de communication IP. Selon l’analyse de Tenable, les modèles présentent quatre failles inquiétantes, toutes non corrigées au moment de la rédaction de cet article.

«Deux des quatre failles permettent aux attaquants de planter les appareils, ce qui obligerait alors un administrateur à les redémarrer», a déclaré Jimi Sebree, ingénieur de recherche principal chez Tenable. «Les deux autres, si elles étaient exploitées avec succès, donneraient à un attaquant un contrôle complet sur les appareils affectés. Cela leur permettrait d’intercepter tout trafic désigné pour les appareils, d’utiliser les appareils dans le cadre d’un botnet, de distribuer des logiciels malveillants, etc. »

grandstream

La faille identifiée comme CVE-2020-5760 (note de 7,8 sur 10 sur l’échelle CvSS) pourrait permettre l’injection de commandes pendant le processus d’approvisionnement. Les attaquants distants non authentifiés peuvent exécuter des commandes arbitraires en tant que root en créant un fichier de configuration spécial et en envoyant un message SIP spécialement conçu.

«Tenable a constaté que la série HT800 est vulnérable à l’injection de commandes via le fichier de configuration lorsque P240 est défini sur 1 et que P2 (mot de passe) contient des métacaractères shell», a déclaré la firme dans son rapport. «De plus, Tenable a découvert qu’un attaquant distant non authentifié pouvait déclencher cette injection via un message SIP x-gs-ucm-url.»

Tenable a également publié une preuve de concept, qui se traduit par un root shell sur l’appareil, permettant un compromis complet.

La faille CVE-2020-5761 est un problème de boucle infinie dans le service TR-069 (noté 7,5 sur 10 sur l’échelle CvSS) qui peut entraîner l’épuisement du processeur. Le TR-069 est une spécification technique du Broadband Forum qui définit un protocole de couche application pour la gestion à distance des équipements clients (CPE) connectés aux réseaux IP. Dans l’implémentation ATA de Grandstream, une faille pouvait permettre à un attaquant distant non authentifié de déclencher un exploit en envoyant un message TCP contenant un seul caractère au service.

«Le service TR-069 de l’appareil tombe dans une boucle infinie si un attaquant distant non authentifié envoie un message TCP qui ne contient pas de caractère de retour chariot (« \r »)», a expliqué Tenable, dans son avis. “Le service TR-069 consommera alors presque toutes les ressources du processeur du système jusqu’à ce que le système soit rebooté.”

vulnérabilité

Le bug est «trivial» à déclencher, selon Sebree. «L’exploitation dépendrait de l’activation ou non des fonctionnalités affectées. Dans de nombreux environnements, ces fonctionnalités sont activées par défaut. Dans ce scénario, l’exploitation est triviale », a-t-il déclaré.

Le service TR-069 est également au cœur de la troisième vulnérabilité, CVE-2020-5762 (note de 7,5 sur 10 sur l’échelle CvSS). Il s’agit d’un problème de déni de service causé par un déréférencement de pointeur NULL dans le service TR-069. La condition est déclenchée en raison d’une mauvaise gestion du champ d’authentification HTTP, conformément à la description CVE.

“Le service TR-069 de l’appareil plantera en raison d’un déréférencement de pointeur NULL lorsqu’une requête HTTP GET distante non authentifiée contient un champ d’authentification qui n’est pas un digest-challenge bien formé”, selon Tenable. “Le service TR-069 ne redémarre pas après le crash… Ceci est facilement reproduit en utilisant l’authentification de base avec curl.”

Et enfin, CVE-2020-5763 (noté 8,8 sur 10 sur l’échelle CvSS) est une porte dérobée SSH permettant un root shell, découverte pour la première fois par Lorenzo Santina (BigNerd95) en Janvier. «Un attaquant distant authentifié peut obtenir un root shell en répondant correctement à un défi», selon la description de SVE.

Toutes ces failles sont pour l’instant non-patchées par Grandstream. Les versions 1.0.17.5 et inférieures du micrologiciel de la série Grandstream HT800 sont vulnérables à ces 4 failles.

Grandstream aurait déjà des correctifs bétâ

«En Juin, Grandstream nous a informés que des correctifs bêta pour ces problèmes étaient disponibles», a déclaré Sebree. «De plus, nous avons publié nos conclusions après l’expiration du délai de divulgation initial de 90 jours et conformément à notre politique de divulgation. Nous partons du principe que si nous l’avons trouvé, quelqu’un d’autre le fera aussi. Cette conviction apporte un sentiment d’urgence à toutes les découvertes et guide nos échéanciers. »

Dans le calendrier de divulgation, il est noté que des correctifs pour toutes les failles ont au moins été développés et testés avec des résultats positifs à la fois par Grandstream en interne et par Tenable, depuis le 22 juin.

Grandstream a rencontré d’autres problèmes de cybersécurité dans le passé. L’année dernière, une série de vulnérabilités d’exécution de code à distance non authentifiées et authentifiées ont été découvertes dans une variété de produits Grandstream destinés aux petites et moyennes entreprises, notamment des unités de conférence audio et vidéo, des téléphones vidéo IP, des routeurs et des IPBX.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x