Actu
Vigil@nce - Aastra IP Phone : obtention du mot de passe
juin 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se connecter sur le service web du téléphone Aastra IP Phone, afin de lire le mot de passe de l’utilisateur.
Gravité : 2/4
Date création : 09/06/2011
PRODUITS CONCERNÉS
Aastra Phone
DESCRIPTION DE LA VULNÉRABILITÉ
Chaque téléphone Aastra IP Phone est associé à un utilisateur, via son Caller ID et son Authentication Name/Password. Ces informations sont communiquées au serveur SIP (PABX) durant l’initialisation.
Le téléphone possède un service web, qui affiche sa configuration
SIP :
http://ip/globalSIPsettings.html
http://ip/SIPsettingsLine1.html
Cependant, ces pages contiennent les champs Caller ID et Authentication Name/Password.
Un attaquant peut donc se connecter sur le service web du téléphone Aastra IP Phone, afin de lire le mot de passe de l’utilisateur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
Tweeter
