Icono del sitio Sinologic

Grave fallo de seguridad en terminales Polycom

Según un artículo de Vicente Motos en HackPlayers, los terminales IP de Polycom tienen un fallo garrafal en cuanto a seguridad que les permite mostrar la contraseña de la cuenta SIP en el propio código fuente de la página web.

Para conocer los datos de la cuenta SIP, tan solo tenemos que acceder al interfaz web del terminal Polycom con los datos por defecto: «Usuario: Polycom» y «Contraseña: 456«, entrar en el apartado Lines -> Line1, y de ahí, buscamos en el navegador la opción para obtener el «Código fuente de la página web«. Veremos entonces algo como esto:

Captura de http://hackplayers.blogspot.com/

Donde veremos que, correspondiente a la contraseña de la cuenta, podemos ver la propia contraseña de la cuenta SIP, que, unido a los datos del «Servidor» y el «Usuario», cualquiera que tenga acceso al interfaz del terminal, puede acceder a la cuenta SIP, vamos lo que viene siendo, un fallo garrafal de seguridad.

 

Esta vulnerabilidad se dio a conocer el pasado día 8 de Junio, por lo que si utilizáis terminales Polycom (y más aún si se conectan a un sistema en remoto), tan solo tenéis que cambiar la contraseña de acceso al administrador web que viene por defecto, para que cueste un poco más acceder a estos datos mientras la gente de Polycom sacan una versión de firmware que solucione esto.

Por lo sencillo del fallo garrafal, casi apostaría que muchos otros fabricantes también pecan de simplicidad en este asunto, donde la «cerradura» para conocer los datos de la cuenta SIP es tan sencillo, en un principio, como la contraseña por defecto del terminal IP de turno.

Más información: http://hackplayers.blogspot.com/2011/06/revelacion-de-contrasenas-en-telefonos.html

y en: http://packetstormsecurity.org/files/102128

Salir de la versión móvil