martes, 25 de junio de 2013

Cisco IP Phone (Servicio Web)

En estas últimas semanas he estado realizando varios laboratorios con tecnologías de Cisco VoIP y mientras cacharreaba un poco con un software que emula un teléfono, algo muy práctico para tener VoIP en la computadora, encontré una característica de los sistemas de Voz IP de Cisco que no conocía, un servicio web que permite acceder a una serie de datos de la parte del cliente, es decir los teléfonos.


Este software está pensado para monitorizar los dispositivos telefónicos de forma remota y tienes más información aquí Monitoring the Cisco Unified IP PhoneRemotely. La verdad es que es un software muy interesante, lo que no me convence tanto es el acceso a un servicio web que por defecto quizás publica demasiada información, y el problema es que además no necesitas autenticarte para acceder a este servicio, simplemente acceder a la IP del Equipo, Accessing the Web Page for a Phone.


En la propia página de Cisco se recomienda desactivar esta función por motivos de seguridad ....

Aparece mucha información útil, una consulta a esta web y podemos saber donde están varios servicios relacionados con: VoIP, servidores tftp, direcciones mac, registros de logs, archivos de configuración y un largo etc, algo a comprobar siempre en una Auditoria si el cliente tiene un Sistema de VoIP Cisco.

Monitoring the Cisco Unified IP Phone Remotely 
Estos son algunos de los datos que podemos consultar mediante esta característica de servicio web en el cliente, como se puede apreciar es una información bastante completa. 

Device Information
  • http://IP/CGI/Java/Serviceability?adapter=device.statistics.device 
Network Configuration 
  • http://IP/CGI/Java/Serviceability?adapter=device.statistics.configuration 
Network Statistics 
Ethernet Information
  • http://IP/CGI/Java/Serviceability?adapter=device.statistics.ethernet
Access
  • http://IP/CGI/Java/Serviceability?adapter=device.statistics.port.access
Network
  • http://IP/CGI/Java/Serviceability?adapter=device.statistics.port.network 
Device Logs 
Console Logs
  • http://IP/CGI/Java/Serviceability?adapter=device.statistics.consolelog
Core Dumps
  • http://IP/CGI/Java/Serviceability?adapter=device.statistics.coredumps
Status Messages
  • http://IP/CGI/Java/Serviceability?adapter=device.settings.status.messages
Debug Display
  • http://IP/CGI/Java/Serviceability?adapter=device.trace.display.alarm

No le di mucha más importancia, un riesgo en un entorno local y algo a tener en cuenta dentro de una Auditoria de VoIPy guarde un par de capturas de pantalla pensando, tengo que preguntarle a @pepeluxx que sabe mucho más que yo. ¿Se podrá ejecutar alguna cosilla mas haciendo un poco de ingeniería inversa a este software?

http://127.0.0.1/CGI/Java/Serviceability?adapter=device.statistics.configuration


Otra de las cuestiones que se me plantean es si esta característica, esta web de administración es conocida por los administradores donde está instalado un sistema de VoIP Cisco. Y si no es así, ¿Qué pasaría si esta característica está habilitada en un equipo conectado a la red pública? Al ser un servicio web ¿Lo indexarían los buscadores?

Y en ningún momento se me ocurrió que se pudiera acceder a esta información desde fuera... ¿Y si consulto a Google?
  • inurl:/CGI/Java/Serviceability?adapter=device.statistics.configuration
Pues parece ser que algo hay….


Incluso algo bastante más si se especifica menos en la búsqueda, 5200 resultados...
  • inurl:/CGI/Java/Serviceability


Y desde el exterior tampoco se pide ningún tipo de autenticación, ip de servidores internos, mac address, servidores de tftp, nombres de equipo, configuraciones habilitadas, una información muy interesante para un posible atacante ¿no?


Click en la Imagen para Aumentar 

Click en la Imagen para Aumentar 


No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias