В VoIP-системе от компании Auerswald обнаружено два бэкдора

[Artifact]

Бэкдоры можно использовать для получения полного административного доступа к устройствам.

Команда исследователей из RedTeam Pentesting в ходе тестирования на проникновение встроенного ПО устройства VoIP-системы от немецкого производителя телекоммуникационного оборудования Auerswald обнаружила ряд бэкдоров. Бэкдоры можно использовать для получения полного административного доступа к устройствам.
«В прошивке COMpact 5500R PBX было обнаружено два встроенных пароля. Один встроенный пароль предназначен для секретной учетной записи под названием Schandelah, а другой может использоваться для учетной записи под названием admin с наивысшими привилегиями. Не было обнаружено никакого способа отключить эти пароли», — сообщили эксперты.
Уязвимости присвоен идентификатор CVE-2021-40859 и она получила оценку в 9,8 балла из максимальных 10 по шкале CVSS. Компания Auerswald исправила проблему в версии прошивки 8.2B в ноябре 2021 года.
Как обнаружили специалисты, устройства настроены на проверку встроенного имени пользователя Schandelah, помимо учетной записи sub-admin, необходимой для управления устройством. Оказалось, что Schandelah — название крошечной деревушки на севере Германии, где Auerswald производит свои устройства.
Соответствующий пароль для этого логина получается путем объединения серийного номера PBX (автоматической телефонной станции), строки «r2d2» и текущей даты, хешируя его с помощью алгоритма хеширования MD5 и принимая первые семь шестнадцатеричных символов в нижнем регистре результата. Все, что нужно злоумышленнику для создания пароля для имени пользователя Schandelah, — получить серийный номер PBX.
Исследователи обнаружили еще один код, запускающийся при проверке учетной записи «admin». Как отмечается, сначала проверяется пароль администратора, хранящийся в переменной local_d8. При несовпадении с паролем, указанным пользователем, происходит повторная проверка, где пароль сравнивается с «резервным» паролем, который генерируется с помощью механизма бэкдора. В данном случае код страны, сконфигурированный для PBX, передается как аргумент, а сам «резервный» пароль для «admin» генерируется с двухбуквенным кодом страны. Он предоставляет полный доступ к PBX без необходимости менять пароль.