boardroom2Inleiding
Samengevat is een groot deel van video-conferencing apparatuur die is aangesloten op het internet zonder firewall en geconfigureerd om automatisch inkomende video-oproepen te accepteren. Hierdoor kan een indringer op afstand zowel audio-als video-informatie monitoren, vaak met weinig tot geen notificatie van het doel. 

Uit onderzoek onder ongeveer 3% van het adresseerbare internet en richt zich op apparatuur die het H.323-protocol support. Van de 250.000 genoemde systemen, zijn er net iets minder dan 5000 geconfigureerd tot het automatisch ontvangen van inkomende gesprekken. Er zijn naar schatting 150.000 van deze 'open' systemen op het internet. Dit is exclusief de honderdduizenden video-conferencing systemen van grote bedrijven die blootgesteld zijn in de interne netwerken!

H.323 Discovery
Alle uitgebrachte Metasploit versies bevatten een scan module om snel H.323 ondersteunende systemen (met automatische binnenkomende oproepen) te indentificeren. Deze module is opgenomen in de standaard 'discovery' modus van Metasploit Pro (gratis trial) en kan gebruikt worden om snel  een groot netwerk op kwetsbare systemen te scannen. Dit proces werkt ook voor de gratis Metasploit Community Edition. Het proces om met Metasploit Pro H.323-apparaten te ontdekken staat hieronder beschreven:

  1. Login to the web interface on https://metasploit:3790/
  2. Create a new Project
  3. Choose the Scan option
  4. Expand "Advanced Options" and enter "1720" into the Custom TCP Ports parameter
  5. Uncheck UDP and SNMP discovery options to increase scanning speed
  6. Launch the Scan task
  7. Once complete, browse to Analysis -> Services
  8. Enter "h323" into the Search box on the upper right

If you have already used the Scan component with the default settings, after applying any update in the last month, you should already have results available. Any device that accepted an incoming call should be identified by a minimum of protocol version and Vendor ID. Most devices will return the Product ID and DisplayName (Caller ID).


mspro

H.323 Clients
Om een geïdentificeerde dienst te valideren, is een een H.323-compatibele client nodig. Denk bierbij aan  NetMeeting (Windows XP), Ekiga (cross-platform, maar buggy), Mirial Softphone (commercieel), of ClearSea In the Cloud (alleen in staat omaan het internet blootgestelde apparaten te scannen). Voor de interne systemen, is NetMeeting op een virtuele XP machine de meest betrouwbare H.323-client. Deze  mist wel de Pan-Tilt-Zoom (PTZ) en keypad controle van een meer geavanceerde client zoals Mirial of ClearSea In de Cloud.

T_Ekiga_in_a_Call
Conclusie

Video conferencing systemen zijn een van de meest gevaarlijke, maar tevens ook de minst bekende security risico's. De populariteit van video-conferencing systemen neemt alleen maar toe, waardoor industriële spionage eenvoudig wordt gemaakt. Hoewel veel leveranciers beperkte veiligheidsmaatregelen bieden, hebben deze de neiging om genegeerd te worden in de echte wereld, door zowel IT-personeel als security auditors.  

Lees meer... Rapid7.com