Vigil@nce - Aastra IP Phone : obtention du mot de passe
juin 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut se connecter sur le service web du téléphone
Aastra IP Phone, afin de lire le mot de passe de l’utilisateur.
Gravité : 2/4
Date création : 09/06/2011
PRODUITS CONCERNÉS
– Aastra Phone
DESCRIPTION DE LA VULNÉRABILITÉ
Chaque téléphone Aastra IP Phone est associé à un utilisateur, via
son Caller ID et son Authentication Name/Password. Ces
informations sont communiquées au serveur SIP (PABX) durant
l’initialisation.
Le téléphone possède un service web, qui affiche sa configuration
SIP :
– http://ip/globalSIPsettings.html
– http://ip/SIPsettingsLine1.html
Cependant, ces pages contiennent les champs Caller ID et
Authentication Name/Password.
Un attaquant peut donc se connecter sur le service web du
téléphone Aastra IP Phone, afin de lire le mot de passe de
l’utilisateur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Aastra-IP-Phone-obtention-du-mot-de-passe-10724