Alors que la faille ayant touché les téléphones Cisco en début d’année a été à la source d’un grand nombre d’articles et de commentaires variés sur Internet, la dernière publication sécurité touchant les solutions de visio de la famille HDX du constructeur Polycom semble être passée inaperçu.
une faille de sécurité dangereuse
Le principe de la vulnérabilité touchant Polycom est pourtant simple et efficace (donc dangereux) : en saturant le service telnet, il est possible de passer outre le système d’authentification et d’obtenir un shell.
La faille Cisco permettait d’intercepter une communication téléphonique mais demandait un accès physique et un circuit électronique spécifique. La faille Polycom est exploitable à distance avec un simple PC sur lequel Perl ou Python est installé. Autant dire que le premier cas demande un spécialiste pointu alors que le second est à la portée du plus grand nombre.
la preuve en vidéo
[FR] polycom HDX telnet authorization bypass... par orange_business
des conséquences lourdes et des solutions... simples !
Ceci est d’autant plus gênant, qu’en offrant un accès à la CLI en remote, il est réellement possible de prendre la main sur l’ensemble de la solution en tant qu’administrateur. Il n’est plus question seulement de confidentialité, mais également de la disponibilité et de l’intégrité de la solution complète. Si l’on considère que ces solutions sont utilisées par les cadres ou le top management des entreprises, la responsabilité de l’administrateur devient assez lourde…
Je retiens donc de cette analyse sommaire que les systèmes Polycom me semblent assez exposés. Il y a malgré tout un point positif dans cette situation. Le workaround à mettre en œuvre est assez simple : il suffit de désactiver le service telnet, ou au minimum de ne le rendre accessible qu’à partir de zones de confiance.
Prenez donc le temps de faire un scan de vos installations, les quelques heures que cela occupera pourraient se révéler bien utilisées s’il s’avère que le service incriminé est accessible depuis Internet.
Cedric
crédit photo : © goodluz - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.