Cisco ha reconocido que “un atacante con credenciales de autenticación Extension Mobility válidas podría configurar un terminal Cisco Unified IP Phone para utilizar la funcionalidad Extension Mobility como instrumento para transmitir o recibir flujos de audio Real-Time Transport Protocol (RTP)”. Es decir, que un atacante podría realizar "hackeos telefónicos" sobre conversaciones soportadas por los terminales de VoIP del fabricante.
La compañía ha explicado que las credenciales de autenticación Extension Mobility no están vinculadas a teléfonos IP individuales y que se puede utilizar “cualquier cuenta Extension Mobility configurada sobre Cisco Unified Communications Manager /CallManager (CUCM), servidor de gestión para teléfonos IP de Cisco, para realizar un ataque de escucha o de oyente colgado”.
Estas técnicas de hacking telefónico fueron descritas por el investigador de Telindus Joffrey Czarny en la conferencia HACK.LU 2007 celebrada en Luxemburgo el pasado octubre, y Cisco ha publicado algunas alternativas para evitar este problema en su sitio dedicado a respuestas de seguridad .
También en octubre, en la conferencia centrada en hacking ToorCon9 (San Diego), dos expertos en seguridad penetraron la red corporativa del hotel que hospedaba el evento utilizando un teléfono VoIP de Cisco. Estos “hackers”, John Kindervag y Jason Ostrom, consiguieron acceder a la red corporativa y financiera del hotel y grabar algunas llamadas telefónicas, según informa un blog de Wired.com.
La compañía ha explicado que las credenciales de autenticación Extension Mobility no están vinculadas a teléfonos IP individuales y que se puede utilizar “cualquier cuenta Extension Mobility configurada sobre Cisco Unified Communications Manager /CallManager (CUCM), servidor de gestión para teléfonos IP de Cisco, para realizar un ataque de escucha o de oyente colgado”.
Estas técnicas de hacking telefónico fueron descritas por el investigador de Telindus Joffrey Czarny en la conferencia HACK.LU 2007 celebrada en Luxemburgo el pasado octubre, y Cisco ha publicado algunas alternativas para evitar este problema en su sitio dedicado a respuestas de seguridad .
También en octubre, en la conferencia centrada en hacking ToorCon9 (San Diego), dos expertos en seguridad penetraron la red corporativa del hotel que hospedaba el evento utilizando un teléfono VoIP de Cisco. Estos “hackers”, John Kindervag y Jason Ostrom, consiguieron acceder a la red corporativa y financiera del hotel y grabar algunas llamadas telefónicas, según informa un blog de Wired.com.
