Investigadores de la empresa Tele-consulting, descubrieron diferentes vulnerabilidades en la suite OmniTouch de Alcatel-Lucent.
El sistema ICS de Alcatel ofrece servicios de comunicación unificados a través de diferentes medios de acceso tales como dispositivos móviles y clientes web.
Destacar las características del cliente web webICS que permitiría servicios finales al usuario tales como acceso a directorios personales y globales, redirección de llamadas...
- Es precisamente en este cliente web donde se encontrarían las vulnerabilidades descubiertas que permitirían, entre otros, ataques de cross site scripting (XSS), tanto persistentes como no, así como cross site request forgery (CSRF).
- Uno de los posibles ataques que se podrían realizar sería el cambio de la configuración del teléfono del usuario final causando una redirección de llamada a través de un XSS almacenado en la libreta de direcciones.
- Las vulnerabilidades tienen asignados los siguientes CVE: CVE-2011-4058 y CVE-2011-4059.
- Alcatel-Lucent ha publicado un hotfix que corregiría estas vulnerabilidades.
Más información en:
- TC-SA-2011-01: Multiple vulnerabilities in OmniTouch Instant Communication Suite
http://www.tele-consulting.com/advisories/TC-SA-2011-01.txt
Fuente: Hispasec
