Profi-Videokonferenzsysteme als Spion
Ein deutscher Hacker hat sich die HDX-Serie der Polycom-Videokonferenzsysteme vorgenommen – und etliche Wege gefunden, die Geräte aus der Ferne zu übernehmen. Ergebnis: Angreifer haben Augen und Ohren in fremden Konferenzräumen.
- Uli Ries
- Jürgen Schmidt
Moritz Jodeit vom deutschen IT-Sicherheitsspezialisten nruns hat im Lauf von zwei Monaten verschiedene Schwächen in Polycoms HDX-Serie entdeckt. Er präsentierte die Ergebnisse seiner Arbeit während der Sicherheitskonferenz Black Hat Europe. Diese Videokonferenzsysteme sind laut Herstellerwebsite in zahlreichen Großunternehmen auf der ganzen Welt im Einsatz.
Nachdem sich Jodeit mittels eines nicht dokumentierten "Developer"-Modus des Polycom-Systems lokalen root-Zugriff verschaffen konnte, begann er die Analyse der einzelnen Softwarekomponenten. Darunter fand sich das Modul, das sich um die Kommunikation des Systems an sich kümmert und die Protokolle H.323 sowie SIP handhabt. Dabei entdeckte er diverse Bugs – und reichlich Hinweise auf mehr: unter anderem 800 Referenzen auf die gefährliche und deshalb geächteten Funktion strcpy().
Ein konkreter Bug betrifft den Umgang mit dem H.323.Protokoll: Den Aufbau eines Anrufs oder einer Videokonferenz initiiert ein an Port 1720 geschicktes SETUP-Paket. Die Polycom-Systeme verarbeiten diese Pakete automatisch, auch wenn die Funktion zur automatischen Gesprächsannahme deaktiviert ist. Dieses SETUP-Paket enthält unter anderem das Informationselement "Display". Beim Verarbeiten dieses Elements findet sich ein Format-String-Bug, so dass das Element einen beliebigen, vom Angreifer definierten Wert haben kann. Auf diesem Weg legt Moritz Jodeit nach und nach mittels zahlreicher SETUP-Pakete den Shellcode im Speicher des Polycom-Geräts ab und erhält so eine Remote Root-Shell. Schutzmechanismen wie ASLR finden sich in der Firmware nicht, so dass der Code verlässlich abgelegt und danach angesprungen werden kann.
Die Demonstration der Sicherheitslücke war fast schon zirkusreif: Der Hacker lud per wget weiteren Schadcode auf das Linux-basierte Gerät. Danach ertönte Zirkusmusik in einer Endlosschleife, die fernsteuerbare Kamera drehte sich von links nach rechts und auf dem Display zeigte bildschirmfüllend "Pwned!". Ein echter Angriff würde natürlich lautlos ablaufen und das Kamerabild abgreifen oder per Mikrophon den Raum überwachen.
Moritz Jodeit äußerte sich sehr positiv über die Zusammenarbeit mit Polycom, nachdem er dem Unternehmen seine Ergebnisse präsentierte. Resultat der Zusammenarbeit ist eine aktualisierte Firmware (Version 3.1.1.2), die einen Tag vor der Black-Hat-Präsentation online ging. Wie Jodeit im Gespräch mit heise Security erklärte, hat die Konfigurationssoftware der Polycom-Hardware keine Funktion zum automatischen Update. Administratoren müssen also von Hand updaten.
Übrigens: Beim Analysieren der Firmware der Geräte entdeckte Jodeit, dass die Polycom-Entwickler den Schlüssel zum Sichern der Firmware-Files fest in der Datei hinterlegt haben. Er lautet "weAREtheCHAMPIONS".
Update 18.3.2013, 12:50: Beschreibung der Bugs nach Hinweisen von Moritz Jodeit korrigiert. (ju)
