Cisco IP Phone
Neulich bekamen wir von einem Make-Leser ein Cisco IP Phone (CP-8961) zugeschickt, ohne Netzteil und Telefonhörer. In seiner Firma wurden hunderte davon ausgemustert. Er bat uns herauszufinden, ob man die Telefone noch zu irgendwas sinnvollem einsetzen und etwa Software darauf installieren könne. Wir haben diesmal nicht nur aufgeschraubt, sondern regelrecht penetriert, Achtung: Hardcore!
Es unterstützt von Hause aus Videokonferenzen, hat ein TFT-Display mit 640×480 Pixel Auflösung, ist netzwerktauglich und spricht eine eindrucksvolle Reihe von klangvollen Netzwerkprotokollen, für deren Konfiguration man früher noch den Cisco Certified Internetwork Expert bestellen musste.
Über die Hardware ist nichts im Internet zu finden, der Prozessor hat einen Cisco-Aufdruck und eine Typ-Nummer F761990, die nur die Gehäuseform des ICs bezeichnet. Die Firmware des Geräts liegt in einem Flash, dessen Aufdruck nicht mehr zu rekonstruieren war. Auch zur Software ist so gut wie nichts herauszubekommen, außer den verfügbaren Firmwares. Einschlägigen Foren zufolge läuft Linux auf dem Gerät, auf dem eine Java Virtual Machine läuft. Dazu passen die Datei-Namen in den von Cisco zum Download angebotenen Firmware-Images: kern, sboot und rootfs.
Um dem Gerät weitere Infos abzutrotzen, haben wir es in Betrieb genommen. Die erwartete 48V Gleichspannung war ungewöhnlich hoch, passende Netzteile in unserer Bastelkiste nur bis 30V zu finden und auf eBay die Preise für Ersatznetzteile unverschämt hoch. Glücklicherweise haben wir noch ein älteres Labornetzteil, das bis 50V liefern kann. Da die Spannungsbuchse kreativ proprietär war, löteten wir kurzerhand Kabel auf die Platine. Durch die ebenfalls kreative Bezeichnung der Pole des Ports schlossen wir die Spannung zuerst falsch herum an - was das IP Phone jedoch ohne Britzeln klaglos überstand. Richtig herum gepolt bootete es und zeigte den Fortschritt auf dem Display an. Sobald es an ein Netzwerk angeschlossen war, holte es sich eine IP-Adresse und versuchte vergeblich mit einer Telefon-Vermittlung Kontakt aufzunehmen. So weit, so gut.
Um möglicherweise Zugang zum Linux zu gelangen, besorgten wir uns zunächst die IP-Adresse über das Telefonmenü. Mit dem Netzwerkscanner nmap scannten wir dann nach offenen Ports auf dem Gerät (nmap -p1-10000 192.168.x.y). Der Scanner fand zwar auf Port 80 und 443 einen Webserver, leider aber keinen Port für Telnet oder SSH. Ein Aufruf des Webserver zeigte die Konfiguration des Gerätes an: Installiert war Firmware 9-4-2.SR1, in der SSH standardmäßig abgeschaltet ist. In früheren Firmware-Versionen für das Gerät ist SSH jedoch standardmäßig an. Die Idee lag zwar nahe, ein Downgrade auf eine alte Firmware-Version zu machen, eine kurze Recherche verriet uns jedoch, dass ab Version 9.4. leider kein Down-grade mehr möglich ist.
Nächste Idee: Der Webserver auf Port 80 gab sich als RomPager von AllegroSoft in Version 4.34 zu erkennen. Ein Blick in Exploit-Datenbanken ließ kurz Hoffnung aufkeimen, dass sich eine Schwachstelle im Webserver zum Einschleusen und Ausführen von eigenem Code über das Netzwerk ausnutzen lässt. Ein Angriff mit dem Exploit ließ das IP Phone aber unbeeindruckt. Zuletzt blieb noch der USB-Port: Auf ihm soll eine Terminal-Konsole für Debugging-Zwecke laufen, über die eventuell Zugriff auf eine Shell möglich ist. Über einen USB-to-Serial-Adapter versuchten wir unser Glück. Der Adapter wurde zwar erkannt, der Administrator des Gerätes hatte den Zugriff jedoch deaktiviert. Da wusste einer, wie man das Gerät dicht macht.
Da sich das Gerät nicht auf Werkseinstellungen zurücksetzen ließ und wir keine Cisco-Plattform zur Remote-Administration von IP Phones installieren konnten, gaben wir an dieser Stelle auf. Falls Sie noch Tipps zum Hacken haben: Mail an info@make-magazin.de. —dab