Chapitre 3v6 Ensembles PBX

Les principaux «utilisateurs» du PBX sont ses extensions téléphoniques. Une multitude d'ensembles peuvent
être connectés dans un PBX, étant donné que les cartes respectives existent. Un exemple typique d'une liste
(partielle) d'ensembles le long de leurs numéros d'appel est illustré à la Fig.  3.12 . La carte de la Fig.  3.11 qui
a été mentionnée dans la section précédente (3.5) est insérée dans l'emplacement 1–22 et elle a 32 numéros
d'extensions. Les extensions qu'elle dessert sont désignées sous les identifiants «spatio-géographiques» 1-22-0
à 1-22-31, chaque identifiant étant mappé sur un numéro de poste donné. La connexion des cartes aux
ensembles peut être filaire ou sans fil (par ex. DECT), avec une paire de deux paires de câbles, une liaison
optique ou même un dispositif d'extension de distance (répéteur).
La représentation «spatiale-géographique» des éléments PBX que nous avons déjà mentionnée est assez
universelle dans les PBX. La figure  3.13 montre un exemple d'une autre marque. En interrogeant les détails
de l'extension avec le numéro interne 4491, l'administrateur peut voir qu'il est hébergé dans l'emplacement 1-
0-41-3.
Il existe des ensembles analogiques classiques et de nombreux appareils numériques différents avec un
écran LCD ou ne variant pas en termes de fonctionnalité et de coût (plus il y a de boutons, plus il est cher!).
Ces ensembles ont des caractéristiques physiques, électriques et logiques différentes. Laissant de côté une
attaque contre le PBX lui-même, les postes analogiques ont besoin d'une intervention physique pour être mis
sur écoute (doivent être démontés pour avoir des bogues électroniques installés, ou faire lire leurs mémoires
de numérotation abrégée). Les numériques, pleins de microprocesseurs, d'EPROMS et de circuits intégrés,
sont sensibles aux attaques matérielles et logicielles. Dans tous les cas, le but de l'attaquant serait d'intercepter
des informations, non seulement lors d'un appel mais aussi lors de discussions tenues dans les environs du
téléphone, en faisant en sorte que le téléphone transfère la voix pendant qu'il est raccroché alors qu'en même
temps il apparaît comme étant inactif, attendant innocemment les appels.
Un autre point sensible concernant les postes téléphoniques est constitué des téléphones internes placés
dans des zones accessibles au public (par exemple, dans le hall ou dans l'ascenseur). En fait, il y a aussi toute
une catégorie d'articles pertinents dans des magazines électroniques clandestins concernant ce que l'on appelle
le «phreaking d'ascenseur». De tels téléphones sont faciles à l'accès et en tant que partie interne du réseau
peuvent facilement être mal utilisés pour exposer des vulnérabilités. Les téléphones internes sont en outre un
point d'accès pratique pour tous ceux qui veulent nuire au réseau et à son infrastructure. Un intrus peut
facilement installer un «bug» ou les utiliser uniquement pour passer un appel gratuit. Il peut également définir
un renvoi vers un numéro externe. En tant que tels, les téléphones accessibles au public doivent être à la fois
protégés et confinés dans des endroits dont l'accès est soumis à une sorte de surveillance et de contrôle. Au cas
où ils seraient vraiment nécessaires, toutes les mesures nécessaires doivent être prises afin de les sécuriser et
de s'assurer qu'ils ne peuvent pas causer de problèmes.

Un cas particulier d'un téléphone interne est la console de l'opérateur (Fig.  3.14 ). S'il n'est pas correctement
administré, il peut avoir la possibilité de modifier les fonctionnalités de configuration des PBX et les données
opérationnelles. Il pouvait par exemple débloquer des destinations interdites ou exploiter les capacités d'appel
sur certains téléphones. Il pourrait également lancer le renvoi d'appel dans différents ensembles. Une fonction
très puissante et dangereuse est la fonction de dérogation ou d'intrusion occupé. En l'utilisant, l'opérateur peut
intervenir dans un appel en cours et l'intercepter. Habituellement, il y a des tonalités d'avertissement dans les
parties communicantes qui les informent de l'intrusion. Ces tonalités peuvent cependant être désactivées,
réglées sur une durée très courte ou sur une fréquence inaudible très élevée ou basse. Les utilisateurs, en
revanche, sont rarement informés de la signification de ces tonalités, de sorte qu'ils risquent de ne pas être
alertés. Il y a aussi la menace évidente de passer des appels si l'opérateur ne s'est pas déconnecté ou n'a pas
verrouillé la console avant de partir. L'état de la semelle est vérifié dans une marque donnée en utilisant les
commandes respectives comme indiqué sur la Fig.  3.15 .
D'autres téléphones spéciaux non pas d'un point de vue technique mais plutôt basés sur l'importance de
l'utilisateur sont les téléphones des cadres. Cibler le téléphone d'un CxO pourrait révéler son numéro de
téléphone portable personnel ou d'autres informations personnelles telles que comme numéros d'appel de la
famille. Étant donné que plus une personne est importante dans une entreprise, plus son téléphone est avancé,
l'attaquant pourrait facilement trouver le nombre de ces personnes «importantes» en fonction du type de poste.
CxO aurait peut-être des téléphones coûteux avec de nombreuses touches et écrans numériques, tandis que le
reste des employés pourrait avoir de simples téléphones analogiques ou des téléphones numériques bas de
gamme.
 EXDDP : DIR = 4491;

DONNÉES DU RÉPERTOIRE D'EXTENSION

DIR CUST EQU                            AUX

4 491 huit 001 -0 -41 -03                            JE CHAT

CHAT TYPE
FIN
5 EL6 0002

Fig.3.13 Détails d'un seul jeu

Fig.3.14 Une console d'opérateur PBX typique

OPTSP ;

DONNÉES D'ÉTAT DE LA CIRCULATION DES

OPÉRATEURS

              DIR OCCUPE / GRATUIT             

ABSENT / PRÉSENT
              4020 B              P

TEMPS D'ATTENTE POUR LES PLUS ANCIENS

APPEL EN FILE: 22S

APPELS EN ATTENTE DE CORG OPÉRATEUR PRÉSENT

              1 0              0

FIN

Fig.3.15 Impression de l'état de la console

Il faut noter à ce stade que les systèmes modernes enregistrent les numéros des entrées de numérotation
abrégée dans la mémoire et les bases de données des PBX plutôt que dans le téléphone lui-même. Les anciens
PBX analogiques s'appuyaient sur la mémoire du téléphone pour stocker les numéros. À cet égard, les anciens
systèmes étaient plus sécurisés car l'attaquant devrait extraire physiquement les données de la mémoire du
téléphone (éventuellement en volant ou en remplaçant le téléphone de la cible). Il peut maintenant faire de même
en lisant simplement les entrées respectives dans le système d'exploitation du PBX, de manière puissante et
centralisée.
Enfin, il existe également des postes VoIP; ceux-ci ont tendance à avoir plus de «cerveaux» que les simples
téléphones PBX, et en tant que tels sont plus sensibles aux actions malveillantes comme nous le verrons dans la
section VoIP.

3.7 La CPU et le port de gestion             

En gardant tous ces ensembles (et pas seulement), le «cœur» du PBX est la carte hébergeant le CPU. Outre le
CPU, la même carte héberge divers circuits mémoire (ROMS, EEPROMS, mémoires Flash contenant des guides
vocaux), des disques durs, une disquette, et des ports série ou USB.            
Le CPU peut être connecté de différentes manières au monde extérieur, afin que le PBX soit géré. Il existe des
connexions de port série directes ou via modem, des protocoles propriétaires (généralement liés à un poste
numérique ou à la console), une connectivité TCP / IP sur Ethernet, V120 via RNIS ou même X25 dans certains
modèles plus anciens.
Les protocoles d'administration pour la gestion et l'interconnexion des PBX incluent la connexion RTC et
RNIS sur respectivement des lignes analogiques ou numériques, des protocoles de réseau génériques tels que IP,
X25, Frame-relay et des protocoles de signalisation spécifiques à la téléphonie tels que QSIG, DPNSS SS7, SIP
et H323. Il existe également des systèmes propriétaires de différents fournisseurs de PBX (par exemple, le
protocole ABC). En surveillant ces protocoles, un adversaire peut augmenter la liste des cibles du SIS en
trouvant des numéros de modem de maintenance supplémentaires et des adresses IP à partir de systèmes
interconnectés. En plus de cela, des cibles potentielles peuvent être trouvées dans les journaux de modem, dans
les tables de routage et d'hôtes et dans les sous-systèmes et fonctionnalités supplémentaires présents tels que la
messagerie vocale. La Figure  3.16 montre une capture d'écran du fichier d'hôtes d'un PBX, répertoriant les PBX
et les CPU à proximité.            
Comme mentionné, une ligne commutée est généralement utilisée pour connecter le processeur du central
téléphonique au modem du responsable afin d'administrer à distance le commutateur. C'est l'une des
fonctionnalités les plus dangereuses qui peuvent être mal utilisées, provoquant non seulement des problèmes de
téléphone, mais également un moyen d'accéder au réseau informatique. La figure  3.17 montre deux modems l'un
au-dessus de l'autre. Le supérieur est un modem numérique RNIS tandis que le bas est un modem analogique
classique. Ces boîtiers d'une valeur de seulement 50 $ peuvent entraîner des dommages de plusieurs millions de
dollars car ils interconnectent efficacement le port de gestion-maintenance du PBX au réseau téléphonique
public, le rendant ainsi accessible de partout dans le monde. Tout ce que l'attaquant a à faire est de trouver son
numéro d'appel et d'utiliser le mot de passe correct (généralement celui par défaut). Ayant accès au commutateur,
l'attaquant peut le reprogrammer, activer les fonctions et services qui pourraient être exploités et arrêter d'autres
fonctionnalités telles que la journalisation des appels.

Mais comment les pirates trouvent-ils le bon numéro à composer pour se connecter au port de maintenance?
Ils utilisent une technique appelée «war dialing» qui consiste à appeler chaque numéro qu'une entreprise possède
afin de découvrir des modems et des services électroniques vers un bus. Le terme vient du film classique de 1983
«War Games» qui décrivait en fait la technique. Selon lui, l'attaquant compose autant de numéros que possible
dans une plage donnée, essayant de trouver des porteuses de modem ou d'autres tonalités qui dénotent la
présence d'un ordinateur / PBX. Cela est possible grâce au service de numérotation directe vers l'intérieur (DID)
ou de numérotation directe (DDI) offert par tous les fournisseurs de télécommunications, permettant à un
utilisateur externe d'accéder à un poste spécifique sans avoir besoin d'appeler l'opérateur qui connecterait
manuellement le call (et éventuellement refuser la connexion à des demandes non autorisées, du moins si elles
sont correctement formées pour le faire).
A titre d'exemple, considérons une entreprise répertoriée dans les pages jaunes avec le numéro 555-0000. En
fonction de la taille de l'entreprise (qu'elle ait plus de 100 téléphones internes ou non), l'attaquant composera tous
les numéros de 555-0001 à 555-0999, ou de 555-0001 à 555-0099. Pour automatiser le processus fastidieux de
numérotation, de nombreux programmes ont été créés, allant des simples exécutables de ligne de commande
MS-DOS (Fig.  3.18 ) aux suites complètes d'interfaces utilisateur graphiques (Fig.  3.19 ) et des outils
souterrains aux produits commerciaux légitimes. Elle peut également être accomplie avec la numérotation
manuelle (numérotation au doigt dans l'argot respectif).
Selon une recherche récente [ 1 ], la numérotation de guerre conduisant au modem de maintenance d'un PBX
peut être particulièrement efficace (atteignant même 70% de succès) en ne numérotant que des extensions
données et non la gamme entière. Dans l'exemple précédent de 555-0 000, l'attaque peut donner des résultats
immédiats en composant le numéro se terminant par 99, c'est-à-dire 555-0099, 555-0199, 555-0299 et ainsi de
suite. Une enquête plus ancienne [ 2 ] concernant les contrôles de sécurité de l'information, «les procédures de
test et d'examen, y compris une« numérotation de guerre »des lignes téléphoniques entrantes pour identifier les
modems actifs» s'est classée en dernier dans une liste de 80 contrôles. En d'autres termes, l'identification et le
suivi des connexions modem étaient incomplets, de mauvaise qualité et non rationalisés, ce qui posait un risque
important qu'il ne fallait pas négliger.

Dans tous les cas, lorsqu'ils sont connectés, soit directement via le port série, soit via un modem ou une
connexion IP, les PBX répondent par des invites de connexion telles que celle de la figure  3.20 . Une torsion
intéressante ici est que certaines marques exigent une séquence de «réveil» pour répondre. Cela peut être une
séquence de caractères (par exemple, «ssssssssss») ou un caractère spécial tel que «ctrl-G».
Cela facilite l'identification de la marque donnée car la plupart des PBX ont des écrans de connexion
distinctifs. L'attaquant essaiera alors des mots de passe par défaut sur la cible . Il est bien connu que les plates-
formes et les ports de maintenance PBX, encore plus que les ordinateurs, ont tendance à avoir des mots de passe
 par défaut. Il existe même de longues listes contenant celles par défaut [ 3 ]. De plus, il existe des cas de mots de
passe câblés dans le code des PBX qui ne peuvent pas être modifiés.
De plus, les PBX dotés de systèmes d'exploitation de type UNIX maintiennent un fichier passwd, comme le
montre la Fig.  3.21 . Cela fournit des noms de connexion pour lesquels les mots de passe respectifs peuvent
éventuellement être forcés brutalement. Le forçage brutal est une méthode exhaustive de vérification
systématique de tous les mots de passe possibles - clés jusqu'à ce que le bon soit trouvé. En tant que tel, il peut
être utilisé dans des systèmes où aucune vulnérabilité n'a été trouvée. Heureusement, cette méthode aurait peu de
succès car la plupart des PBX limitent les essais de mot de passe et après trois ou quatre mauvaises tentatives,
déconnectez l'attaquant.
On ne saurait trop insister sur le fait que les dangers liés à l’accès à distance au port de maintenance et de
gestion imposent la nécessité d’équipes administratives locales compétitives et formées. Avoir une équipe dédiée
à la gestion du PBX minimise le besoin de connexions externes et avec cela les risques associés.

3.8 Suite et station de logiciel, d'administration et de gestion             

La station d'administration / gestion peut être un PC ou un serveur exécutant n'importe quel O / S. Les PBX plus
petits nécessitent que le logiciel soit installé sur le serveur d'administration externe, tandis que les PBX plus
grands incluent généralement le logiciel dans leur propre système d'exploitation. Le logiciel en cours d'exécution
peut être un système d'exploitation propriétaire fermé ou basé sur des systèmes d'exploitation génériques
spécifiquement modifiés pour le PBX. Nous nous concentrerons uniquement sur la suite de gestion puisque le
reste est un sujet couvert dans la littérature sur la sécurité informatique.
La suite de gestion permet l'approvisionnement du PBX, le contrôle de son fonctionnement, la configuration,
l'activation et la modification des fonctionnalités, l'exécution de tâches de maintenance, etc. Il existe des suites
de ligne de commande (Fig.  3.22 ), pilotées par menu (Fig.  3.23) et complètes d'interface utilisateur graphique.
Pour y accéder, un pirate malveillant pourrait lancer toutes les attaques décrites précédemment contre la
confidentialité, l'intégrité et la disponibilité. À ce stade, nous devons noter que la plupart des systèmes ont une
aide en ligne complète. Ainsi, même si l'intrus n'est pas parfaitement familiarisé avec le système, il peut être
assisté. La figure  3.24 montre les résultats d'une seule requête de point d'interrogation «?» à l'invite de la
direction. Une longue liste (tronquée sur la figure  3.24) est renvoyée avec toutes les commandes.

3.9 Outils de bas niveau             

Outre les outils quotidiens utilisés par les administrateurs, un éventail de commandes et d'outils puissants et de
bas niveau sont disponibles, parfois non documentés et restreints pour le personnel hautement expérimenté . Ils
permettent de:
• Écoutez secrètement d'autres connexions (en plaçant un robinet) (exemple sur la Fig.  3.25 )     
• Examiner le contenu de la mémoire (éditeur hexadécimal) et modifier ensuite à la volée      
• Vérifiez si une ligne est occupée, et si c'est le cas, activez une intrusion     
• Envoyer des commandes binaires directement au CPU ou à des cartes spécifi ques     
• La touche Entrée appuie dans l'ensemble comme si elle avait été entrée par son utilisateur      
• Envoyez des commandes directes à l'appareil en le contrôlant à distance (par exemple, allumez le
microphone)     
• Ensemble de circuits et ensembles hors service     
• Surveiller la signalisation dans les lignes RNIS, dans les postes et dans le PBX lui-même      
• Surveiller les touches enfoncées dans un ensemble     
• Vider le contenu des paramètres et des comptes de la base de données     
• Forcer la connexion entre deux ensembles (permettant effectivement l'écoute clandestine) (exemple de la Fig.  
3.25 )     
Il y a même des cas d'outils oubliés et restants de la phase de test qui sont arrivés à la production, même avec
des noms d'utilisateur / mots de passe non documentés ou câblés (non modifiables). Des codes spéciaux et des
séquences de touches peuvent également activer des fonctionnalités cachées.
 Les fonctionnalités de débug-maintenance sont très dangereuses entre les mains d'un attaquant car elles
peuvent surveiller ou isoler des lignes simples ou des jonctions entières. Ils peuvent également fournir une
analyse de signalisation, traçant tous les messages échangés. D'autres outils permettent un accès direct et des
opérations à la base de données, en contournant la suite de gestion. La lecture de la mémoire avec des éditeurs
hexadécimaux fournis et un correctif à chaud est également possible, ce qui permet d'insérer des points d'arrêt
dans le code et éventuellement d'élever les privilèges des utilisateurs ou de contourner les mots de passe. La
reprogrammation de la mémoire flash peut activer des fonctionnalités secrètes, ce qui pourrait être exploité par
un malware comme nous le verrons plus tard.

3.10 Base de données             

En plus des outils de bas niveau, il existe des outils pour accéder à la base de données interne du PBX. En effet,
toutes les informations nécessaires sur la configuration et le fonctionnement du PBX sont stockées dans une telle
base de données accessible soit depuis la session de gestion, soit (pire encore) directement depuis le O / S (par
exemple, via des sockets TCP en liste ouverte). Cette fonctionnalité bien que dangereuse est importante pour
communiquer les changements dans un réseau de PBX.
Les modifications apportées aux paramètres via la suite de gestion sont reflétées dans la base de données.
Cependant, en utilisant les bons outils, un attaquant peut contourner la suite de gestion comme indiqué et entrer,
modifier ou supprimer des valeurs directement. Cela peut entraîner des résultats inattendus et des débordements
de tampon. Prenons l'exemple suivant: L'interface utilisateur graphique a un champ pour un paramètre donné qui
permet de saisir un seul chiffre. Cette valeur est écrite dans le fi chier respectif de la base de données. Un
attaquant peut directement émettre une commande de base de données pour entrer dans ce champ une entrée plus
longue. Cela pourrait entraîner l'arrêt du PBX ou d'autres problèmes.
En plus de cela, ayant un accès complet, l'intrus peut modifier les fonctionnalités (par exemple, supprimer
l'interdiction d'appels et augmenter les autorisations d'appel). Il peut également supprimer toute la base de
données. Fait assez intéressant, au moins un fabricant a des comptes de connexion spécifiques dans le seul but
d'arrêter le PBX ou de supprimer et réinstaller la base de données de paramètres, effaçant efficacement la
configuration existante.
De plus, certains types de journaux, y compris les journaux de gestion, les journaux d'accès et les journaux de
sécurité, sont stockés dans des bases de données au lieu de fichiers simples, de sorte que l'accès à la base de
données permet également de lire ces fichiers. La figure  3.26 montre la sortie d'un outil lisant la base de données
de l'ensemble qui affiche également le code secret de chaque ensemble (initialement défini sur 0000 par défaut).

3.11 Interaction entre les fonctionnalités non prédite             

Nous allons maintenant passer aux fonctionnalités et services. Les PBX modernes offrent une multitude de
services et de fonctionnalités. Il existe littéralement des centaines de services qui peuvent être offerts, allant du
simple renvoi d'appel à la téléconférence multimédia avancée. Soit ils sont proposés au niveau interne-local, soit
ils font partie des fonctionnalités du réseau en fonction du fournisseur de services. Le point intéressant à noter ici
est la possibilité d'interaction de fonctionnalités non prédites et la présence d'erreurs et de bogues logiciels [ 4 ].
Comme déjà indiqué, la complexité et l'interaction des systèmes sont importantes. Il est donc logique qu'un test
approfondi de tous les scénarios et paramètres possibles pouvant conduire à des vulnérabilités soit un processus
qui ne peut être appliqué avec un succès absolu.
A titre d'exemple, considérons un bogue affectant une longue chaîne d'avants. L'ensemble A est transféré vers
le paramètre B, B vers C, C vers D, etc. En raison de ce bug hypothétique, si cette longue chaîne d'avants revient
à l'ensemble A, après avoir passé par dix nombres différents, le système pourrait planter. Un autre exemple, si
l'ensemble A a activé les fonctionnalités B, C et D et si se t E demande le service F qui implique l'ensemble A,
alors un autre cas hypothétique pourrait être que le PBX répond d'une manière non prédite, car il n'a pas été testé
pour cet événement spécifique.