安全研究人員在A(yíng)vaya制造的企業(yè)VoIP桌面電話(huà)的流行模型中發(fā)現了一個(gè)關(guān)鍵的遠程代碼執行漏洞。該漏洞使黑客能夠完全控制設備，收聽(tīng)電話(huà)，甚至將手機變成間諜設備。

這個(gè)問(wèn)題是由安全公司McAfee的研究人員發(fā)現的，并于周四在拉斯維加斯的DEF CON安全會(huì )議上公布。但是，固件更新自6月25日起可用。

該漏洞位于DHCP服務(wù)中，允許設備自動(dòng)獲取網(wǎng)絡(luò )上的IP地址。攻擊者可以通過(guò)向設備發(fā)送惡意修改的DHCP響應來(lái)利用它，這些設備不需要身份驗證，并且可以通過(guò)網(wǎng)絡(luò )的合法DHCP服務(wù)器贏(yíng)得競爭條件。

該缺陷是緩沖區溢出，可導致使用root權限執行代碼。這意味著(zhù)攻擊者可以完全控制手機的操作系統，可以執行任何操作，包括欺騙呼叫，更改用戶(hù)在顯示屏上看到的消息，打開(kāi)音頻呼叫或打開(kāi)內置麥克風(fēng)以窺探附近的對話(huà)。

“有很多不同的攻擊媒介，但我們認為最有趣的是基于麥克風(fēng)的窺探攻擊，這就是我們用來(lái)構建演示的內容，”邁克菲高級威脅研究主管Steve Povolny告訴CSO 。

易受攻擊的設備型號

McAfee團隊發(fā)現并確認了Avaya 9600系列IP Deskphone上的漏洞。但是，根據Avaya的建議，J100系列IP電話(huà)和B100系列會(huì )議電話(huà)也受到影響。

只有運行固件版本6.8.1及更早版本且配置了H.323信令而非SIP的電話(huà)才會(huì )受到影響。該公司建議用戶(hù)升級到固件版本6.8.2或更高版本。幸運的是，可以從中央服務(wù)器管理這些設備，因此可以自動(dòng)部署更新。

舊的無(wú)法維護的代碼有問(wèn)題

事實(shí)證明，該漏洞實(shí)際上已在十年前在dhclient中得到修補，dhclient是Avaya在其固件中使用的開(kāi)源組件。問(wèn)題是，在十年前分發(fā)開(kāi)源代碼之后，該公司沒(méi)有更新它或從上游反向安裝補丁。因此，Avaya手機使用的是2007年的dhclient版本。

這是許多嵌入式設備和專(zhuān)有軟件項目的常見(jiàn)問(wèn)題，這些項目通常嚴重依賴(lài)于開(kāi)源代碼和庫。過(guò)去的研究表明，許多公司和設備制造商都沒(méi)有跟蹤哪些版本的開(kāi)源庫被使用，這意味著(zhù)他們也沒(méi)有跟蹤后來(lái)在這些項目中發(fā)現和修復的安全問(wèn)題。

在本周Black Hat關(guān)于企業(yè)SSL VPN漏洞的另一場(chǎng)演講中，研究人員發(fā)現，頂級供應商的VPN設備使用的是過(guò)時(shí)的數據解析庫，甚至是2002年的Apache Web服務(wù)器版本。好消息是現在增加了努力創(chuàng )建有助于公司維護軟件物料清單的標準，這有助于解決其中的一些問(wèn)題。