โทรศัพท์ไอพีตระกูล Cisco Unified IP Phones 7900 มีบั๊กความปลอดภัยทำให้แอพพลิเคชั่นที่รันบนโทรศัพท์สามารถเจาะขึ้นไประดับเคอร์เนล ข้ามระบบรักษาความปลอดภัยของโทรศัพท์ไปได้
เมื่อแอพพลิเคชั่นสามารถข้ามระบบรักษาความปลอดภัยได้แล้ว จะสามารถควบคุมโทรศัพท์ได้ทั้งหมด รวมถึงการเปิดไมโครโฟนของโทรศัพท์เพื่ออัดเสียงรอบๆแล้วส่งกลับไปไปยังผู้เจาะระบบ
Ang Cui and Salvatore Solfo รายงานปัญหานี้ไปยังซิสโก้ตั้งแต่วันที่ 6 พฤศจิกายนที่ผ่านมา โดยอาศัยช่องโหว่หลายอย่างในซอฟต์แวร์ของโทรศัพท์
ซิสโก้ยังไม่มีแพตซ์ให้กับบั๊กเหล่านี้ โดยคาดว่าจะปล่อยแพตซ์ได้ในวันที่ 21 ที่จะถึงนี้ ระหว่างนี้ซิสโก้แนะนำให้ปิด SSH บนตัวโทรศัพท์กันไปก่อน
ท้ายข่าวมีวิดีโอสาธิตการเจาะโทรศัพท์แบบเต็มงานสัมมนา 29C3
ที่มา - ArsTechnica
Comments
ฟังแล้วฮาตาคนพูดดี ไฟล์ powerpoint ใหญ่โตเว่อร์ 2 GB แถมมีมาอวดตอนก่อนเริ่มอีก 555+
เพิ่มเติมนะครับ
1.เค้าไม่ได้รันแอพบนโทรศัพท์เพื่อให้สามารถข้ามระบบรักษาความปลอดภัย แต่ใช้การเขียนทับบางส่วนของ user และ kernel space บนหน่วยความจำของโทรศัพท์ ซึ่งทำให้เค้าได้สิทธิ์ Root มา จากนั้นก็ใช้สิทธิ์นี้ไปควบคุม DSP และระบบหลักอื่นๆ
2.ปัญหานี้ได้มีการรายงานไปยัง Cisco จำนวน 2 ครั้ง โดยครั้งแรกเมื่อวันที่ 24 ตุลาคม ซึ่งก็มี patch ออกมาเมื่อวันที่ 20 พฤศจิกายน แต่ว่าก็ยังไม่ได้แก้ปัญหานี้ แต่ใช้วิธีเพิ่มโค้ดว่าถ้ามีการชี้ไปยัง kernel memory โดย user ให้ยกเลิกการทำงานนั้น เข้าไป 1 บรรทัด:
"if $a1 > 0x80000000 exit syscall"
แต่ว่าปัญหาจริงๆก็ยังอยู่ เค้าก็ได้แจ้งไปเป็นครั้งที่ 2 เมื่อวันที่ 13 ธันวาคม ซึ่ง ณ ปัจจุบันก็ยังไม่มี patch ออกมาแก้ไขปัญหาแต่อย่างใดครับ
3."Ang Cui and Salvatore Solfo รายงานปัญหานี้ไปยังซิสโก้ตั้งแต่วันที่ 6 พฤศจิกายนที่ผ่านมา โดยอาศัยช่องโหว่หลายอย่างในซอฟต์แวร์ของโทรศัพท์" อ่านแล้วเข้าใจว่ารายงานปัญหาไปยัง cisco โดยอาศัยช่องโหว่ที่มีอยู่
เรื่อง 2GB ผมว่าต้องยกให้เขาจริงๆ เพราะเกือบทุกหน้าวาดเองกับมือหมด ที่น่าแปลกใจคือ PowerPoint ไม่ crash
ผมชอบตรงที่เจ้าตัวกัดเรื่อง Java เล่นเอาฮากลิ้ง [@6:44]
[@30:25] เพิ่มเติมอีกอย่างคือ vulnerabilities นี่พบได้กับ Cisco 7900-series ทั้งหมดซึ่งเป็น CNU และใช้ไม่ได้กับเครื่องที่พัฒนามาจากทาง Tandberg ที่ Cisco เพิ่งไปซื้อบริษัทมา
[@38:00] เรื่อง remote attack การใช้ ARP นี่ เล่นเอาหัวเราะก๊ากเลย มุกเดิมยังใช้ได้อีกดี ผมว่าสำหรับ L2 น่าจะทำได้ไม่มีปัญหา แต่ [@40:40] L3 ข้าม router มาจากทาง printer ผมสงสัยว่ามันทำได้? เพราะเจ้าตัวบอกว่าส่ง source spoofing UDP packet ที่ปลอม source เป็น TFTP server เพื่อส่ง Authorize_Keys ไป IP phone ซึ่งจุดนี้ผมว่าตัว packet มันน่าจะโดน dropped ที่ router ไป และอีกจุดคือ voice_VLAN ที่ Cisco ใช้มัน terminate ตัว tagging ที่ไหน?
+1 กะ present เอาฮาเลยทีเดียว แต่ผมว่าเจ๋งดีอ่ะ กะว่าจะเซฟเก็บเอาไว้เป็น model เผื่อลองทำ presentation แบบนี้ดูมั่ง
รุ่นยอดนิยมซะด้วยสิ