Des chercheurs en sécurité ont découvert une vulnérabilité critique permettant d'exécuter du code à distance dans des téléphones VoIP d'entreprise très répandus, fabriqués par Avaya. La faille permet à des pirates de prendre le contrôle total des appareils, d'écouter les appels, et même de transformer le téléphone en système d'espionnage. La vulnérabilité, découverte par une équipe de l’entreprise de sécurité McAfee, a été révélée jeudi lors de la conférence DEF CON sur la sécurité qui a lieu du 8 au 11 août à Las Vegas. À noter que Avaya a livré des mises à jour pour le firmware de ses téléphones le 25 juin. La vulnérabilité se situe dans le service DHCP, qui permet aux appareils d'obtenir automatiquement des adresses IP sur le réseau. Les attaquants peuvent exploiter ce service en retournant de fausses informations DHCP aux périphériques, plus rapidement que le serveur DHCP légitime du réseau, et ce, sans avoir besoin d'authentification. La faille permet un débordement de mémoire tampon qui peut entraîner l'exécution du code avec des privilèges root. Cela signifie que les attaquants ont un contrôle total sur le système d'exploitation du téléphone et peuvent faire n'importe quoi, y compris usurper un appel, modifier des messages affichés à l'écran, exfiltrer des appels audio ou même activer le microphone interne pour espionner les conversations pouvant avoir lieu à proximité.

« Les vecteurs d'attaque sont nombreux, mais nous avons pensé que le plus intéressant serait de faire la démonstration de l’activation du microphone à des fins d’espionnage », a déclaré Steve Povolny, directeur de la recherche sur les menaces avancées chez McAfee. Son équipe a trouvé et confirmé que la vulnérabilité affectait les téléphones IP de la série 9600 d'Avaya. Cependant, selon l'avis émis par le fabricant, les téléphones IP de la série J100 et les téléphones de conférence de la série B100 sont également affectés. Seuls les téléphones exécutant la version 6.8.1 ou antérieure du firmware et configurés avec les protocoles H.323, non SIP, sont concernés. Le fabricant conseille aux utilisateurs de passer à la version 6.8.2 ou ultérieure du firmware. Heureusement, ces appareils peuvent être gérés à partir d'un serveur central, de sorte que le déploiement des mises à jour peut se faire automatiquement.

La faute à l'ancien code

Il s'avère que la vulnérabilité avait été corrigée il y a dix ans dans dhclient, le composant open-source utilisé par Avaya dans son firmware. Le problème, c’est qu'après avoir créé un fork du code open-source il y a plus de dix ans, l'entreprise ne l'a pas mis à jour ou n'a pas appliqué de correctifs de sécurité rétroactivement sur les autres versions. Par conséquent, les téléphones Avaya utilisaient une version dhclient datant de 2007. C’est un problème auquel sont confrontés de nombreux appareils embarqués et projets de logiciels propriétaires qui dépendent en général fortement d’un code et de bibliothèques open-source. De précédentes enquêtes ont montré que de nombreuses entreprises et fabricants de périphériques n’assuraient pas le suivi des versions des bibliothèques open-source utilisées, ce qui signifie qu'ils ne préoccupent pas non plus des problèmes de sécurité identifiés et corrigés ultérieurement dans ces projets.

Lors de la conférence Black Hat organisée du 3 au 8 août à Las Vegas sur les vulnérabilités des VPN SSL d'entreprise, les chercheurs ont découvert que les appliances VPN des principaux fournisseurs utilisaient des bibliothèques d'analyse de données tout à fait obsolètes, et même une version du serveur Web Apache datant de 2002. La bonne nouvelle, c'est qu’il y a de plus en plus d’initiatives pour créer des normes qui aideraient les entreprises à suivre les nomenclatures de leurs logiciels, ce qui pourrait contribuer à résoudre certains de ces problèmes.