تم اكتشاف العديد من الثغرات الأمنية في هواتف المكاتب التابعة لشركة AudioCodes وميزة Zero Touch Provisioning المقدمة من Zoom، ويمكن للمهاجم استغلالها لتنفيذ هجمات عن بُعد.
تُشير ميزة Zero Touch Provisioning إلى طريقة لتكوين الأجهزة في أنظمة الشبكات بشكل تلقائي باستخدام ميزة التبديل.
أشار الباحث الأمني في شركة SySS، موريتز أبريل، في تحليل نُشر يوم الجمعة: "يمكن للمهاجم الخارجي استغلال الثغرات التي تم اكتشافها في هواتف المكاتب لشركة AudioCodes وميزة Zero Touch Provisioning المقدمة من Zoom للسيطرة الكاملة على الأجهزة عن بُعد".
يمكن استغلال هذا الوصول غير المحدود للتنصت على الغرف والمكالمات الهاتفية، واختراق شبكات الشركات، وإنشاء شبكة من الأجهزة المصابة. تم تقديم هذا البحث في مؤتمر الأمن Black Hat USA في وقت سابق من هذا الأسبوع.
تم اكتشاف مشكلات في ميزة "توفير اللمسة الصفرية" التي توفرها Zoom، والتي تسمح لمسؤولي تقنية المعلومات بتكوين أجهزة هاتف عبر بروتوكول الإنترنت (VoIP) بشكل مركزي. تتيح هذه الميزة للمؤسسات مراقبة الأجهزة واستكشاف الأخطاء وإصلاحها وتحديثها عن بُعد. وتعتمد على خادم ويب يُنشئ داخل الشبكة المحلية لتوفير التكوينات وتحديثات البرامج الثابتة للأجهزة.
تم الكشف عن عدم وجود آليات مصادقة من جانب العميل خلال عملية استرداد ملفات التكوين من خدمة "توفير اللمسة الصفرية"، مما يتيح للمهاجمين تنزيل برامج ضارة من خادم مزيف. وتم الكشف أيضًا عن مشكلات في عمليات التشفير لهواتف المكاتب من AudioCodes VoIP، وهي شركة تدعم أيضًا ميزة "توفير اللمسة الصفرية" من Zoom.
تتيح مشكلات المصادقة هذه فك تشفير المعلومات الحساسة مثل كلمات المرور وملفات التكوين المرسلة عبر خادم إعادة التوجيه الذي يستخدمه الهاتف لاستلام التكوين.
ويقول الباحث موريتز أبريل: "باستخدام هذه الثغرات الأمنية، يمكن للمهاجمين التحكم في الأجهزة عن بُعد. ونظرًا لقدرتها على الانتشار، فإنها تشكل تهديدًا أمنيًا كبيرًا".
تم الكشف عن هذه المشكلات بعد ما يقرب من عام من اكتشاف مشكلة أمنية في وظيفة التوجيه المباشر لخدمة مؤتمرات الفيديو من Microsoft Teams، والتي قد تجعل عمليات التثبيت عرضة للاحتيال.
وأكد متحدث باسم Zoom أنه تم فرض قيود على العملاء الجدد لمنع استخدام عناوين URL المخصصة للبرامج الثابتة في ميزة "توفير اللمسة الصفرية"، وأن الشركة تخطط لتنفيذ تحسينات أمنية إضافية في وقت لاحق من هذا العام.
إرسال تعليق