Pull to refresh

Comments 28

Не факт что вообще будет новая прошивка с закрытыми уязвимостями.
3. Шифрованные конфиги

Так я и не понял в чём прикол этого шифрования. На TFTP лежат конфиги для железок, железка запрашивает файл вида VENDOR_MAC.bin и получив его расшифровывает с использованием ключа MAC. Какой смысл шифровать конфиг, если ключ содержится в имени файла?
Видимо надежда на то, что злоумышленник не будет знать алгоритм шифрования :) Сейчас есть другой вариант шифрования, шифруются xml файлы aes'ом по заданному паролю, но чтобы телефон понял этот конфиг, необходимо заранее прописывать руками пароль в аппарате.
Так обычно производитель выкладывает утилиты для шифрования\дешифрования конфигов, дабы можно было себе провижионинг настроить. Мне казалось что основная фишка провижионинга в том, что техник, который будет устанавливать железу в ней разбирается не больше уровня знания того, в какой разъём какой провод воткнуть, а железка уже сама настраивается.

Если у железки есть клавиатура и дисплей, то ввод пароля вполне тривиальная процедура, но как защитить устройства, которых их не имеют? Роутеры, VoIP шлюзы и другие железки, у которых из интерфейсов ввода только кнопка Reset.
UFO just landed and posted this here
Читайте мою предыдущую статью. habrahabr.ru/post/249855/
Если вкратце, то наберите команду gssu, кейген по ссылке выше
UFO just landed and posted this here
Вы не думали на какой-нибудь большой security-конференции (DEFCON, BlackHat, GrrCON, ACM-CCS, IEEE Security & Privacy) выступить? Материала у вас уже куча, причем на самом деле весьма серьезного.
Телефон Grandstream GXP2124
Просто открыл браузер, ввел в адресную строку:
xxx.xxx.xxx.xxx/cgi-bin/dumpsettings

И браузер предложил сохранить файл конфига… не зашифрованный…
Ага, так и есть, и пароля не спросил :)
GXP1400 — та же песня… Все читаемо)
Ну так в статье же я написал, что этой уязвимости подвергнуты почти все устройства от грандстрима
UFO just landed and posted this here
Grandstream извещен об этих проблемах и работает над их исправлением.
К сожалению, я пропустил вашу первую статью…

Даже не знаю, могу ли я попросить убрать описание дыр до момента их исправления???
UFO just landed and posted this here
Я же написал что мы в процессе.
Реально я понимаю что нашли дыры и это хорошо. Но дыры выложены с конкретными инструкциями — это может стать проблемой…

Я же не требую убрать пост, я спросил можно ли :)
Итак, я рад сообщить, что Grandstream выпустил фиксы на указанные проблемы!!!

Фиксы решают 1,2 и 4 уязвимости на телефонах GXP2130/40/60 и GXP110x/116x/14xx/21xx. Скачать обновленные прошивки можно на сайте, с пометкой BETA!!! www.grandstream.com/support/firmware

Либо, можно автоматически обновить телефон по HTTP по ссылке firmware.grandstream.com/BETA, чего я не рекомендую, так как при нестабильном Интернет соединение могут быть проблемы )))

Что же касается третьей уязвимости с шифрованием конфига, то эта проблема известна и она была решена переходом на использование XML конфига. На данный момент Grandstream поддерживает провижининг текстовым файлом для старых операторов, которые еще не мигрировали на XML. Работа с ними так же ведется )))
Большое спасибо за фикс. Про шифрованный конфиг, я указывал скорее на уязвимости у операторов, которые используют старый формат. Про шифрованный xml я тоже упомянул в статье.
Сейчас посмотрел апдейт внимательнее, файлик /.ssh/authorized_keys остался то на месте :)
Вам интересно пообщаться напрямую с саппортом по этому вопросу?
Мы можем все сделать более оперативно, если я не буду передаточным механизмом )))
OK. Значит надо выполнить пару простых действий ))

Зарегистрироваться здесь helpdesk.grandstream.com/
Открыть тикет и скинуть мне его номер, я пропедалирую разработчиков.

После хеппиэнда вышлю какой-нибудь видеотелефон в подарок ;)
В итоге Грандстрим заявил что это не бекдор, а «механизм траблшутинга» :))) Другого ответа я не ожидал. Так что всем рекомендую зарывать ssh
Да, к сожалению признаю этот факт… Вынесу в открытый доступ полный ответ саппорта :)

Actually the mechanism you described is not a backdoor, but a troubleshooting mechanism. To perform it you will need both the device's Admin password (given by the user) and Grandstream's private Key (known by Grandstream developers). Without the consent of the user the mechanism will not be possible. So only Grandstream will be able to access the device (with the authorization of the user) in the case where Grandstream assistance is needed to troubleshoot a particular problem.

Разработчики пообещали, что в будущем добавят возможность отключения данного «траблшутинг механизма» :) в прошивку.
С каких пор для авторизации по ключу нужен еще и пароль?.. То ли нас обманывают, то ли они сами не понимают как эта «траблшутинг механизма» работает.
Нестабильный интернет не должен вызывать проблемы — обычно firmware скачивается на локальный storage и только после этого начинается прошивка. Во всяком случае именно так все происходит в устройствах, под которые разрабатываем мы, и все конкуренты, которых я наблюдал — такое же поведение.

Проблемы могут быть, если внезапно в процессе прошивки вырубится питание/пользователь нажмет что-то и прервер процедуру.
Ну…

Кучу железок приносят в сервис, говорят, что обновлялась и умерла. Питание не дергали.
Поэтому всегда рекомендую использовать свой FTP для обновления
Sign up to leave a comment.

Articles