Probando vulnerabilidad en Elastix (Backdoor Freebx)
En los últimos años con el despegue de las “Distribuciones Asterisk” , han echo que prácticamente cualquier ser humano, pueda instalarse una plataforma de comunicaciones de voz, sin mucho esfuerzo. lo cual ha producido desde mi punto de vista, graves descuidos, al pensar que una plataforma de voz o voip , es igual a una implementacion de servicio de correo. por ejemplo.
El 11 de agosto del año pasado , se hiso publico, un grave problema de seguridad (permite el acceso con privilegios de administrador a la configuración total de la plataforma) en Freepbx , el software por excelencia de muchos, para administrar “facilmente” un Asterisk y que por supuesto afectaba también a Elastix.
A la fecha , realizando auditorías a plataformas de voz, entre ellas Elastix , casi nueves meses después, de la publicación de la vulnerabilidad , existen, muchas , PERO MUCHAS , implementaciones totalmente afectadas por este problema.
Los invito a verificar los siguiente :
1.- Viendo si mosmos vulnerables :
a) Ingresar a la siguiente direccion : http://direcccionip/admin/
b) las va pedir acceso de usuario y password prueven con esto :
usuario : asteriskuser
contraseña : eLaStIx.asteriskuser.2oo7
Y vuala si ingresan, entonces a preocuparse.
2.- Como corregir la vulnerabilidad
Felizmente como todo en el mundo opensource , existe un parche , basta con actualizar freepbx
#yum upgrade Frepbx*
http://jroliva.wordpress.com/2011/05/30/probando-vulnerabilidad-en-elastix-backdoor-freebx/
No hay comentarios:
Publicar un comentario