Une vulnérabilité dans le téléphone IP Avaya en fait un bon poste d'écoute, disent les chercheurs Cui et Stolfo

Deux vulnérabilités zero-day dans les derniers téléphones IP one-X 9608 d’Avaya ont été découvertes et devraient être corrigées vendredi par Avaya selon deux chercheurs en sécurité, Ang Cui et Salvatore Stalfo. Les deux vulnérabilités rendent très facile pour tout attaquant/hacker de transformer le téléphone IP en poste d’écoute.

Le chercheur Ang Cui, doctorant à l’Université de Columbia et scientifique en chef chez Red Balloon Security, a démontré l’un des exploits et a fourni des détails sur les vulnérabilités non rapportées lors d’une présentation, également vendredi à la RSA Conference 2014.

Cui et Stolfo ont présenté des vulnérabilités VoIP similaires trouvées dans les téléphones de la série Cisco 7900 lors du Forum Amphion à San Francisco en 2012. Pour cette attaque, il fallait d’abord attacher physiquement un dongle au téléphone. Une fois compromis, le téléphone espionnerait alors les conversations dans la pièce, même lorsque le téléphone n’était pas décroché.

Cependant, cette nouvelle attaque est encore plus mortelle car elle ne nécessite aucun matériel externe. Pour cette nouvelle attaque, le duo a déclaré qu’il pouvait compromettre à distance des appareils ainsi que d’autres appareils sur le réseau d’entreprise. Cui a décrit l’exploitation de l’une des vulnérabilités d’Avaya comme simple, presque triviale.

“Je peux mettre toutes les informations sur l’attaque sur un Post-It,” a-t-il déclaré. “La barrière à l’entrée ici est très, très basse. Donc, la probabilité que personne n’ait trouvé cette vulnérabilité, à mon avis, est très faible, n’est-ce pas. Mais nous sommes les tout premiers à avoir effectivement rendu cela public. À mon avis, il est tout à fait plausible que quelqu’un ait exploité cette vulnérabilité auparavant.”

Cui a déclaré qu’il avait trouvé un moyen pour n’importe quel appareil de diffuser des données de manière furtive. “Nous avons élaboré cette technique qui transforme essentiellement des cartes de circuits PC très standard que l’on trouve dans toutes sortes d’appareils embarqués en émetteurs radio improvisés,” a-t-il déclaré. “Donc, je n’utilise pas le jeu de puces sans fil, je n’utilise rien qui soit censé être un émetteur RF. J’utilise du code, un logiciel qui force essentiellement la carte de circuit existante à agir comme un émetteur ad hoc. Et c’est quelque chose qu’un attaquant peut utiliser pour transmettre un signal par la fenêtre, par exemple, et faire sortir toutes sortes de sources de données. C’est très difficile à détecter pour le moment.”

Cui a déclaré qu’il avait divulgué des détails sur la vulnérabilité au fournisseur et non au public. Avaya a confirmé que Cui et Stolfo avaient été en contact et qu’Avaya publierait un correctif, “Nous sommes au courant du problème et nous nous engageons à fournir un correctif au plus tard le 1er mars 2014.”