الوقت - اكتشف باحث أمني وجود العديد من الثغرات الأمنية في الهواتف المكتبية من شركة (أوديو كودز) AudioCodes، وميزة (توفير اللمسة الصفرية) Zero Touch Provisioning التابعة لشركة (زوم) Zoom، قد يستغلها مهاجم لشن هجمات من بعد.
يُشار إلى أن ميزة (توفير اللمسة الصفرية) هي طريقة لإعداد الأجهزة في أنظمة الشبكات تقوم تلقائيًا بتكوين الجهاز باستخدام ميزة التبديل.
وقال (موريتز أبريل)، الباحث الأمني في شركة SySS، في تحليل نُشر يوم الجمعة: «يمكن للمهاجم الخارجي الذي يستفيد من نقاط الضعف المكتشفة في الهواتف المكتبية لشركة (أوديو كودز) وميزة (توفير اللمسة الصفرية) التابعة لشركة (زوم) الحصول على تحكم كامل من بعد في الأجهزة».
ويمكن بعد ذلك استخدام الوصول غير المقيد كسلاح للتنصت على الغرف أو المكالمات الهاتفية، والتمحور عبر الأجهزة ومهاجمة شبكات الشركات، وكذلك إنشاء شبكة من الأجهزة المصابة. وقد قُدِّم البحث في مؤتمر الأمن Black Hat USA في وقت سابق من هذا الأسبوع.
يُذكر أن المشكلات متجذرة في ميزة (توفير اللمسة الصفرية) من (زوم)، التي تسمح لمسؤولي تقنية المعلومات بتكوين أجهزة (هاتف عبر بروتوكول الإنترنت) VoIP بطريقة مركزية بحيث يسهل على المؤسسات مراقبة الأجهزة واستكشاف الأخطاء وإصلاحها وتحديثها عند الاقتضاء.
ويُحقق ذلك عن طريق خادم ويب يُنشر داخل الشبكة المحلية لتوفير التكوينات وتحديثات البرامج الثابتة للأجهزة.
وعلى وجه التحديد، فقد عُثر على أن عملية «التوفير» تفتقر إلى آليات المصادقة من جانب العميل أثناء استرداد ملفات التكوين من خدمة (توفير اللمسة الصفرية)، مما يؤدي إلى سيناريو يمكن للمهاجم فيه تشغيل تنزيل البرامج الثابتة الضارة من خادم مخادع.
وكشفت الدراسة أيضًا عن مشكلات المصادقة غير الصحيحة في إجراءات التشفير للهواتف المكتبية (أوديو كودز فويب) AudioCodes VoIP، وهي واحدة من الشركات العديدة التي تدعم ميزة (توفير اللمسة الصفرية) من زوم.
وتسمح مشكلات المصادقة بفك تشفير المعلومات الحساسة، مثل: كلمات المرور، وملفات التكوين المرسلة عبر خادم إعادة التوجيه الذي يستخدمه الهاتف لجلب التكوين.
