SSTIC 2013 - Compromission d'un environement VoIP CISCO

par ??? (Lexfo)

L’orateur nous présente d’abord une archi VoIP Cisco classique. Tout le monde à tapé sur les téléphones Cisco, mais personne ne s’est attaqué au Call Manager, alors que c’est un composant central avec des capacités d’interception très fortes permettant de mettre en écoute tout le réseau VoIP.

Le Call Manager, c’est une software appliance sous Red Hat. On peut donc accéder au FileSystem et regarder comment tout ça fonctionne. En fouillant un peu, il est possible de trouver la clef secrète qui sert au chiffrement des échanges avec le Call Manager.

Il est aussi possible d’exécuter des commandes systèmes au travers d’une table dans la base de données SQL. Il faut donc trouver un utilisateur avec les bons droits pour aller écrire notre commande dans la base. En fouillant ils ont découvert une SQLi sur une connexion avec un utilisateur disposant des droits appropriés.  On se retrouve alors avec des privilèges Tomcat.

L’utilisateur Informix à des droits sudoers sur un script dont il est propriétaire, il suffit d’élever ses privilèges de Tomcat vers Informix pour pouvoir obtenir les droits root. Le mot de passe Informix est généré à partir d’un fichier contenant une valeur qui n’est pas effacé après installation de la virtual appliance. Il suffit donc de le lire avec les droits Tomcat et de re-générer le mot de passe Informix, et Hop on passe root en modifiant le script Perl sudoable 😀