Téléphone SIP Snom : alerte de sécurité

Snom SIP Phone 870

Une alerte de sécurité vient d’être publiée ce jour sur le site Security Focus concernant les téléphones SIP de la marque SNOM. Les alertes sont de type critique. Si vous utilisez ces téléphones dans votre entreprise ou chez vos clients, je vous invite à lire de manière attentive cette alerte et d’apporter les correctifs nécessaires.

L’alerte touche les téléphones de bureau des gammes 3xx, 7xx et 8xx .

Les vulnérabilités touchent l’implémentation du serveur web implanté dans le téléphone, donc potentiellement toutes les actions utilisant ce serveur.

Les téléphones peuvent être compromis complètement par une attaque externe et il est possible de faire :

  • ajouter une backdoor au système, backdoor qui restera même si le téléphone est remis à 0 (reset)
  • activer à distance le microphone du téléphone afin d’écouter la pièce où est situé le téléphone
  • récupérer les conversations réalisées via le téléphone en installant un sniffer
  • rediriger les appels vers des numéros spéciaux avec pour conséquence une facture fortement alourdie.
  • utiliser le téléphone comme point d’entrée pour attaquer le réseau interne

La recommandation est terrible : ne pas utiliser le téléphone tant qu’un nouveau firmware ne vienne corriger les failles découvertes !

It is highly recommended by SEC Consult not to use this product until a
thorough security review of the firmware has been performed by security
professionals and all identified issues have been resolved.

Si vous voulez quand même utiliser ces téléphones, qui sont des produits de qualité, il faut respecter des règles strictes (règles qui devraient être mis en place dans tous les cas, quelque soit le téléphone) :

  • ne pas exposer l’interface web à l’extérieur de votre réseau, mais uniquement à des machines de confiance
  • ne pas réaliser d’auto-provisioning via un réseau externe non chiffré et bloquer la configuration via le serveur de Snom (provisioning.snom.com) – Ce provisioning est réalisé via le protocole HTTP non chiffré
  • ne pas exposer le port 5060 à l’extérieur de votre réseau sans avoir mis en place un filtrage

Pour conclure, si vous utilisez le client OpenVPN embarqué dans le téléphone, je vous engage à bien lire cette note de sécurité du wiki de Snom, et de réaliser au plus vite la mise à jour de vos téléphones.

Auteur : Mathias

Qui suis-je ? Je travaille dans les télécoms et réseaux depuis 1996 (oui, le siècle dernier). Je suis ingénieur en génie électrique et informatique industrielle réseaux et télécoms. Je suis passionné de technologies et je participe à plusieurs projets touchant les télécoms (asterisk et freeswitch notament) et la sécurité informatique (PfSense). J’interviens en tant que freelance afin d'accompagner les entreprises et opérateurs en leur apportant mon expérience et mon expertise.

Laisser un commentaire