Однако, и тут нас компания D-Link успела «порадовать», реализовав "секьюити-фичу" и подтвердив её документально…
Если в вашей компании используется IP-телефония и есть оборудование D-Link, то этот материал настоятельно рекомендуется к прочтению.
На официальном форуме поддержки оборудования D-Link была поднята тема о безопасности VoIP-оборудования D-Link:
«Добрый день!
Эксплуатируем более ста телефонов этой модели.
Недавно были обнаружены следующие особенности данного аппарата:
1. зайдя на web-интерфейс телефона под дефолтной учетной записью guest с паролем guest (уровень доступа общий), можно менять конфигурацию телефона: настройки IP, SIP и прочие. Можно даже глянуть на конфигурационный файл с паролями.
2. при удалении этой учетки guest, она вновь появляется после перезагрузки телефона. Появляется с паролем guest даже если до удаления он был сменен.
Версия Firmware на данном аппарате: GE_1.00
Подскажите, это баг или особенность данных телефонов?»
На что сотрудник компании D-Link Алексей Мотков дает официальный ответ:
«Особенность»
Вы поняли, да? Стоит ли тратить буквы, на то, чтобы описывать всю фееричную бредовость такой ситуации?? Стоит ли говорить, что один из самых уязвимых элементов IP-телефонии, находящийся зачастую в неконтролируемых админом сетях имеет просто гигантскую дырку, которую сотрудники D-Link еще называют «Особенностью»?
Дать возможность хакерам войти в телефон, скачать конфигурацию и войти на станцию с первого раза, после чего «назвонить» на сотни тысяч рублей — вот что компания D-Link называет особенностью.
Наверняка, тему в ближайшее время выпилят администраторы, т.к. репутация D-Link будет падать с каждым просмотром этой темы. Поэтому прикрепляем к этой статье нотариально заверенные скриншоты: клац раз, клац два.
ссылка на оригинал статьи http://habrahabr.ru/post/194154/
Добавить комментарий