Sécurité des iPBX : responsabilité des intégrateurs

Je viens d’avoir un appel téléphonique d’un responsable d’une société qui vient de subir une fraude sur son installation téléphonique. Alerté par son opérateur, Orange pour ne pas le citer, il vient de subir des appels frauduleux pour un montant dépassant les 10k euros. Juste de quoi vous gâcher la journée.

L’opérateur ayant fait le nécessaire (suppression des appels à l’étranger), il cherche maintenant à savoir qui va payer cette facture bien salée. Et pour cela, il faut chercher le responsable, qui a fait la boulette. Un détournement des accès téléphoniques, un employé malintentionné ou une faille du système téléphonique.

Après un audit des accès téléphoniques de l’iPBX, cette hypothèse est rapidement écartée comme la seconde (les montants en jeu sont trop importants). Il reste donc l’hypothèse malheureusement la plus courante, une faille sur le système téléphonique.

Seul un audit permettra de déterminer quelle faille a été exploitée, et si cette faille est la conséquence d’une négligence dans la programmation et la maintenance du standard téléphonique. Malheureusement un certain nombre d’installateurs téléphoniques ou intégrateurs prennent la sécurité des équipements et des systèmes à la légère. Pour preuve, la non application des matchs de sécurité sur certains parcs de PABX pourtant reconnus vulnérables, ou la mise en oeuvre d’architecture dont la conception même fragilise toute l’infrastructure informatique de la société cliente.

Il est grand temps que le petit monde de la téléphonie (installateurs, éditeurs, constructeurs …) adopte des pratiques strictes en terme de sécurité. Et pour commencer, la mise à disposition des patchs de sécurité devrait être gratuit (ce n’est pas encore le cas de tous les constructeurs) et le déploiement des mises à jour de sécurité inclu au contrat de maintenance en incluant des SLA (délai de déploiement de la mise à jour maximum garanti …). Une veille technique devrait aussi faire partie de ces contrats avec une information claire diffusée au client.

Les intégrateurs ou installateurs privés en tant que professionnels reconnus sont responsables devant la loi du respect des bonnes pratiques. Laisser un mot de passe par défaut ou faible est un exemple simple, mais qui engage la responsabilité du prestataire. Comme le fait de ne pas avoir répondu aux solicitations de son client lui demandant de mettre à jour le système, ou le fait d’avoir programmé le système en ignorant les règles de sécurité connues.

Les attaques se faisant de plus en plus nombreuses, j’espère qu’à la fois les clients (ceux qui refusent de mettre à jour leur système et qui refusent tout contrat d’infogérance) et les professionnels prennent plus sérieusement en compte ces risques.

Téléphone SIP Snom : alerte de sécurité

Une alerte de sécurité vient d’être publiée ce jour sur le site Security Focus concernant les téléphones SIP de la marque SNOM. Les alertes sont de type critique. Si vous utilisez ces téléphones dans votre entreprise ou chez vos clients, je vous invite à lire de manière attentive cette alerte et d’apporter les correctifs nécessaires.

L’alerte touche les téléphones de bureau des gammes 3xx, 7xx et 8xx .

Les vulnérabilités touchent l’implémentation du serveur web implanté dans le téléphone, donc potentiellement toutes les actions utilisant ce serveur.

Les téléphones peuvent être compromis complètement par une attaque externe et il est possible de faire :

  • ajouter une backdoor au système, backdoor qui restera même si le téléphone est remis à 0 (reset)
  • activer à distance le microphone du téléphone afin d’écouter la pièce où est situé le téléphone
  • récupérer les conversations réalisées via le téléphone en installant un sniffer
  • rediriger les appels vers des numéros spéciaux avec pour conséquence une facture fortement alourdie.
  • utiliser le téléphone comme point d’entrée pour attaquer le réseau interne

La recommandation est terrible : ne pas utiliser le téléphone tant qu’un nouveau firmware ne vienne corriger les failles découvertes !

It is highly recommended by SEC Consult not to use this product until a
thorough security review of the firmware has been performed by security
professionals and all identified issues have been resolved.

Si vous voulez quand même utiliser ces téléphones, qui sont des produits de qualité, il faut respecter des règles strictes (règles qui devraient être mis en place dans tous les cas, quelque soit le téléphone) :

  • ne pas exposer l’interface web à l’extérieur de votre réseau, mais uniquement à des machines de confiance
  • ne pas réaliser d’auto-provisioning via un réseau externe non chiffré et bloquer la configuration via le serveur de Snom (provisioning.snom.com) – Ce provisioning est réalisé via le protocole HTTP non chiffré
  • ne pas exposer le port 5060 à l’extérieur de votre réseau sans avoir mis en place un filtrage

Pour conclure, si vous utilisez le client OpenVPN embarqué dans le téléphone, je vous engage à bien lire cette note de sécurité du wiki de Snom, et de réaliser au plus vite la mise à jour de vos téléphones.

GPG : mindmap des principales commandes

Une mindmap des principales commandes de GNU PG (GPG) sous licence CC BY-SA

pfSense : sortie de la version 2.1.2

Hier soir, tard dans la soirée, l’équipe de pfSense a sortie la version 2.1.2 qui corrige notamment le maintenant célèbre bug heart bleed d’OpenSSL (CVE-2014-0160).

Il faut noter la rapidité de l’équipe de pfSense à vous délivrer un correctif de qualité à comparer avec d’autres solutions propriétaires où nous sommes toujours dans l’attente d’une moindre communication (mais cela arrange peut-être certaines personnes).

En tout cas, un grand bravo à toute l’équipe de pfSense, car il ne s’agissait pas de refaire une simple mise à jour de dépendance comme on pourrait naïvement le croire.

Pour les soutenir, je vous invite à faire un tour sur leur store afin d’acheter un goodie ou même un firewall propulsé par pfSense pour votre maison prêt à l’emploi (je vous conseille VK-T40E2, testé et validé par bibi).

pfSense : Faille OpenSSL heartbeat ( Heart Bleed bug ) – CVE-2014-0160

pfSense est-il impacté par la faille du paquet OpenSSL dite du bug heart bleed ? La réponse est multiple

Introduction

Les utilisateurs de pfSense, la célèbre appliance de sécurité Open Source, se posent la question fort importante. Est-ce que mon pfSense est impacté par la faille du paquet OpenSSL dite du bug heart bleed (CVE-2014-0160) ? La réponse est multiple :

Version 2.03 :

Cette version de pfSense utilise une version d’OpenSSL non touché par la faille (0.9.8y). Ouf 🙂 ! Par contre, si vous utilisez le package Unbound, désactivez-le le temps de la mise à jour !

Version 2.1 et 2.1.1 :

Et oui, vous êtes vulnérables 🙁 !

OpenVPN

OpenVPN n’est exposé à cette faille que si il est utilisé en mode SSL/TLS sans clé d’authentification TLS. Si vous avez suivi le wizard, normalement vous êtes tranquille.

Les solutions palliatives

Modifications sur pfSense

  1. Ne pas ouvrir votre interface web à tout le net
  2. Si vous utilisez OpenVPN sans l’authentification TLS, vous devez modifier la configuration ou suspendre le service temporairement.
  3. D’autres paquets dépendent d’OpenSSL, mais en général le risque que la faille soit exploitée via ceci est faible. Mais s’ils ne sont pas critiques, le mieux est de les désactiver.

Snort

Des règles pour Snort viennent d’être publiées soit par l’équipe du projet, soit par de gentilles personnes.

Et le patch officiel ?

La version 2.1.2 qui corrige cette faille va sortir dans les prochaines heures. Suivez les commits sur github.

Quelques rappels utiles

Il ne faut jamais exposer l’interface de management à internet. Accédez-y via une machine local, ou via le VPN, ou encore via SSH. Changer le port par défaut de l’interface web, mettez un vrai mot de passe bien secure.

Si votre installation se révèle être vulnérable, suite à la mise à jour vous devez révoquer vos anciennes clés privées, en générer de nouvelles et créer de nouveaux certificats pour vos nouvelles clés.

Faille OpenSSL heartbeat : explication en vidéo ( Heart Bleed bug ) – CVE-2014-0160

Vidéo très bien faite expliquant la faille OpenSSL dite le Heartbleed bug. CVE-2014-0160

[ Alert openssl ] : faille de sécurité – CVE-2014-0160

Faille de sécurité OpenSSL

Une nouvelle de faille de sécurité a été découverte dans le paquet OpenSSL. Les versions impactées sont les suivantes :

  • 1.0.1
  • 1.0.2-beta
  • 1.0.1f
  • 1.0.2-beta1

Afin de corriger cette faille , une correction est disponible. Les versions 1.0.2 et 1.0.2-beta2 corrigent la faille.

Pour informations, les distributions ubuntu LTS (et non LTS) sont soit non affectées soit disposent d’un correctifs. Pour la 12.0.4LTS, c’est la version 1..0.1-4ubuntu5.12 et pour la 14.04LTS, c’est la version 1.0.1f-ubuntu2.

En ce qui concerne Debian, Squeeze n’est pas concernée par cette vulnérabilité. Par contre, pour Wheezy, la vulnérabilité a été corrigée dans la version 1.0.1e-2+deb7u5, pour Jessie, dans la version 1.0.1g-1 et enfin pour Sid, dans la version 1.0.1g-1.

Cette vulnérabilité impacte la prise en charge par OpenSSL de l’extension TLS/DTLS Heartbeat et peut permettre à un attaquant de compromettre les clefs privées et d’autres données sensibles en mémoire.

pfSense : sortie de la version 2.1.1 :-)

pfSense est une appliance de sécurité basée sur FreeBSD fort réputée.

En attendant la version 2.2, cette nouvelle version corrige 3 failles de sécurité (FreeBSD-SA-14:01.bsnmpd / CVE-2014-1452, FreeBSD-SA-14:02.ntpd / CVE-2013-5211, FreeBSD-SA-14:03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450), met à jour les drivers de cartes réseaux (em/igb/ixgb/ixgbe) et corrige des bugs mineurs.

Vous trouverez le détail de la mise à jour ICI .

Lightbeam : voir les sites qui nous traquent à notre insu

Vous en avez marre de ces sites qui ne respectent pas votre vie privé, soit pas incompétence soit par volonté. J’espère que vous utilisez Firefox et une ectension bloquant les cookies un peu trop curieux et bavard. Mais, une autre extension de Firefox permet de vous montrer visuellement avec quels sites vous communiquez sans le savoir !

Firefox définit ainsi cette extension :

Lightbeam est une extension pour Firefox qui fait appel à des visualisations interactives pour vous montrer avec quels sites tiers vous communiquez sans le savoir. À mesure que vous naviguez, Lightbeam vous révèlera les coulisses du Web d’aujourd’hui, y compris les parties les moins visibles pour l’utilisateur moyen.

L’installation est très simple, comme n’importe quelle extension. A noter, qu’il n’est pas nécessaire de redémarrer votre navigateur.

Comment fonctionne Lightbeam ? L’extension tourne en tâche de fond et collecte des statistiques sur chaque site visité et des sites tiers liés. Ensuite, vous pouvez voir graphiquement avec catastrophe vos données que vous échangez avec des tiers à votre insu. Pour cela, allez dans le menu de Firefox, et cliquez sur « show lightbeam ». Un nouvel onglet va s’ouvrir.

Après avoir visité 3 sites, voilà le résultat :

Comme je bloque les cookies, les fuites ne sont pas aussi importantes, mais via les plugins analytics et autres, les données sont quand même transférées vers d’autres sites sans mon accord. Faites le test de votre côté et comparons !

On voit que le journaldunet partage des informations avec 7 sites ! Quand on additionne la somme des sites vus dans une journée, le partage de données non souhaité devient insoutenable.

Comme nous disaient nos parents quand on était encore jeune, sortez couvert.

Sécurité : une backdoor découverte sur les routeurs Cisco, Linksys et Netgear

Il a été découvert récemment une backdoor écoutant sur le port TCP/32764 sur certains routeurs des marques Cisco, Linksys et Netgear. Cette backdoor permet de faire un reset du routeur ou de prendre le contrôle complet de ce dernier.

Un petit lien vers le repo github de la personne ayant mis à jour cette backdoor : https://github.com/elvanderb/TCP-32764

Comment sécuriser son routeur afin de ne plus être vulnérable? Le plus simple, est de changer le firmware par un firmware opensource comme OpenWRT.

La liste des routeurs vulnérables (liste non exhaustive malheureusement) – source elvanderb :

Avec les récentes histoires de backdoor présentent dans un certains nombre d’équipements, les solutions opensource deviennent une des solutions les plus sures, le code restant auditable. Profitez en pour regarder Pfsense ou Zeroshell. A vos Soekris !