Probando vulnerabilidad en Elastix (Backdoor Freebx)

En los últimos años con el despegue de las “Distribuciones Asterisk” , han echo que prácticamente cualquier ser humano, pueda instalarse una plataforma de comunicaciones de voz, sin mucho esfuerzo. lo cual ha producido desde mi punto de vista, graves descuidos, al pensar que una plataforma de voz  o voip , es igual a una implementacion de servicio de correo. por ejemplo.

El 11 de agosto del año pasado , se hiso publico, un grave problema de seguridad (permite el acceso con privilegios de administrador a la configuración total de la plataforma) en Freepbx  , el software por excelencia de muchos,  para administrar “facilmente” un Asterisk y que por supuesto afectaba también a Elastix.

A la fecha , realizando auditorías a plataformas de voz, entre ellas Elastix , casi nueves meses después, de la publicación de la vulnerabilidad , existen, muchas , PERO MUCHAS , implementaciones totalmente afectadas por este problema.

Los invito a verificar los siguiente :

1.- Viendo si mosmos vulnerables :

a) Ingresar a la siguiente direccion :  http://direcccionip/admin/

b) las va pedir acceso de usuario y password prueven con esto :

usuario : asteriskuser

contraseña : eLaStIx.asteriskuser.2oo7

Y vuala si ingresan, entonces a preocuparse.

2.- Como corregir la vulnerabilidad

Felizmente como todo en el mundo opensource , existe un parche , basta con actualizar freepbx

#yum upgrade Frepbx*

Espero que este post le sirva para probar su plataforma y verificar su estado.

Saludos

Mas información sobre la vulnerabilidad : http://www.sinologic.net/blog/2010-08/gravisimo-backdoor-detectado-en-freepbx/

Esta entrada fue publicada en Asterisk, Centos, Linux, Manuales y tutoriales por jroliva. Guarda el enlace permanente.

Acerca de jroliva

Juan Oliva, es un consultor de seguridad informática y telefonía IP con 10 años de experiencia en el campo . Muy involucrado en proyectos de pruebas de penetración , análisis y explotación vulnerabilidades, pruebas de ingeniería social, seguridad física, revisión de código, entre otras tareas de seguridad informática. Así mismo, desarrolla proyectos de implementación y mantenimiento de VoIP, basadas en Asterisk y Elastix, proyectos de callcenter, soluciones en la nube y hosted PBX, Aseguramiento de plataformas Linux, Windows. Ha estado trabajando para una variedad de empresas en donde ha desarrollado proyectos para el estado peruano, así como para entidades privadas, nacionales y del extranjero, cuenta con certificaciones vigentes en Ethical hacking, Linux y telefonía IP. Es instructor de cursos de Ethical Hacking y certificaciónes como Linux Professional Institute y Elastix, donde ha tenido oportunidad de realizar capacitaciones en el Perú, así como en el extranjero. Es investigador de vulnerabilidades, y creador de contenidos, que son publicados en su blog personal jroliva.wordpress.com el cual mantiene desde hace mas de 6 años.

2 pensamientos en “Probando vulnerabilidad en Elastix (Backdoor Freebx)

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s