El año pasado nuestro equipo mostró durante el Security Zone 2012 las vulnerabilidades que tienen los teléfonos yealink, allí vimos un estudio realizado sobre este tipo de telefonos y los hallazgos encontrados. Una de las principales fallas que se pudieron observar es el gran número de dispositivos que estaban públicos y con los cuales se podía acceder con credenciales por defecto
Tan solo en latinoamérica se encontraron más de 200 teléfonos Yealink publicados durante el 2012 usando buscadores como Google, Bing y Shodan.
Distribución geográfica teléfonos Yealink publicados en Latinoamérica
Distribución por países en Latinoamérica de teléfonos Yealink públicos
Con las direcciones recopiladas, se pudo ingresar a varios de estos dispositivos utilizando las credenciales por defecto usuario: admin, password: admin y aunque algunos administradores cambian las credenciales por defecto de administración por lo general no cambian el del usuario: user, password: user, lo cual si bien no permite administrar el teléfono, si permite ver información como direcciones de registro, libreta de contactos, versiones de firmware del teléfono e incluso capturar tráfico de red, ya que algunos modelos de yealink tienen un sniffer integrado.
Firmware de Teléfonos Yealink
Usuario y password admin en teléfonos yealink
Una funcionalidad que permite este tipo de teléfonos es realizar una marcación desde el panel de administración y ver un listado de los números marcados, de esta forma averiguamos el plan de marcado y se podrían realizar llamadas a cualquier sitio.
El 28 de Mayo se ha publicado un exploit para esta vulnerabilidad YeaLink IP Phone Firmware 9.70.0.100 Missing Authentication, es un script en python al cual le pasamos como parámetro la dirección ip del teléfono y el número que se desea marcar.
Lo que hace el script es conectarse a la url que permite ejecutar la función dentro del teléfono http://X.X.X.X/cgi-bin/ConfigManApp.com?Id=34, utilizando el usuario user y el password user, accede a la función y le pasa el número a marcar.
En caso de que aparezca el siguiente error a la hora de ejecutar:
Se debe validar si el teléfono está escuchando por http o por https, ya que la url a la que apunta el script va por http
UrlGet_params = ‘http://%s/cgi-bin/ConfigManApp.com?Id=34&Command=1&Number=%s&Account=0&sid=0.724202975169738′ % (IP, num)
Contramedidas:
- Cambiar las contraseñas del usuario admin y user
- Actualizar las versiones de firmware de los teléfonos http://www.yealink.co.uk/downloads/
- Evitar la publicación de teléfonos, utilizar VPN para establecer la conexión.
- Configurar claves de marcado (PIN Sets) para evitar las llamadas no autorizadas.
