Una vulnerabilidad en el teléfono IP de Avaya lo convierte en un buen puesto de escucha, dicen los investigadores Cui y Stolfo

Se han descubierto dos vulnerabilidades de día cero en los últimos teléfonos IP one-X 9608 de Avaya y se espera que Avaya las parchee el viernes, según dos investigadores de seguridad, Ang Cui y Salvatore Stalfo. Ambas vulnerabilidades facilitan que cualquier atacante/hacker convierta el teléfono IP en un puesto de escucha.

El investigador Ang Cui, candidato a doctorado en la Universidad de Columbia y científico jefe en Red Balloon Security, demostró uno de los exploits y proporcionó detalles sobre las vulnerabilidades no reportadas anteriormente durante una presentación, también el viernes en la Conferencia RSA 2014.

Cui y Stolfo presentaron vulnerabilidades similares de VoIP encontradas en los teléfonos de la serie Cisco 7900 en el Amphion Forum de San Francisco en 2012. Para ese ataque, primero se necesitaba conectar físicamente un dongle al teléfono. Una vez comprometido, el teléfono escucharía las conversaciones dentro de la sala, incluso cuando el teléfono no estaba descolgado.

Sin embargo, este nuevo ataque es aún más mortal ya que no requiere ningún hardware externo. Para este nuevo ataque, la pareja dijo que podrían comprometer dispositivos de forma remota, así como otros dispositivos en la red corporativa. Cui describió la explotación de una de las vulnerabilidades de Avaya como simple, casi trivial.

“Puedo encajar toda la información del ataque en una nota adhesiva”, dijo. “La barrera de entrada aquí es muy, muy baja. Así que la probabilidad de que nadie haya encontrado esta vulnerabilidad, en mi opinión, es muy baja, ¿verdad? Pero somos las primeras personas que realmente hemos publicitado esto. En mi mente, es completamente plausible que alguien haya explotado esta vulnerabilidad antes.”

Cui dijo que ha encontrado una manera para que cualquier dispositivo transmita datos de manera subrepticia. “Se nos ocurrió esta técnica que esencialmente convierte las placas de circuito de PC muy estándar que se encuentran en todo tipo de dispositivos embebidos en transmisores de radio improvisados”, dijo. “Así que no estoy usando el conjunto de chips inalámbricos, no estoy usando nada que esté destinado a ser un transmisor de RF. Estoy usando código, software que básicamente obliga a la placa de circuito existente a actuar como un transmisor ad hoc. Y esto es algo que un atacante puede usar para transmitir una señal por la ventana, por ejemplo, y filtrar todo tipo de fuentes de datos. Es muy difícil de detectar en este momento.”

Cui dijo que ha estado divulgando detalles de la vulnerabilidad al proveedor y no al público. Avaya ha confirmado que Cui y Stolfo han estado en contacto y Avaya lanzará un parche, “Estamos al tanto del problema y comprometidos a entregar una solución a más tardar el 1 de marzo de 2014.”