我管理一个有 VOIP 电话的网络。有些是旧的Aastra 67xxi。他们有一个内置的网络界面用于管理。这些电话位于与内部网络物理隔离的以太网网络上,并且位于专用光纤盒的 NAT 后面。我希望这能让我相对安全地免受外部攻击。
然而,任何能够物理访问电话的人(或者在该网络上插入带有浏览器的 PC,包括电话的辅助以太网连接器),并且知道电话的管理员密码,都可以访问电话的管理界面。从那里他们可以把事情搞得一团糟,理论上可能会导致手机下载可用于任何邪恶目的的恶意固件(高级持续威胁)。
我正在尝试做出明智的事情:将管理员密码更改为比默认 22222 更安全的密码,以期阻止远程†攻击。唯一的问题是我找不到任何菜单,无论是在手机本身还是在远程管理网络界面上。我可以更改用户密码,但不能更改管理员密码。
有人知道如何更改 Aastra 67xxi VOIP 电话的管理员密码吗?
† 这只会使物理访问手机的人的攻击变得复杂:他们仍然可以将手机恢复到出厂默认设置以解决管理员密码。除非他们巧妙地修改固件,否则远程管理员有机会检测到密码已更改。
当电话解析 aastra.cfg 文件并遇到类似以下行时,Aastra 67xxi VOIP 电话的密码被更改
该 aastra.cfg 文件(其名称似乎是硬编码的)在 TFTP、FTP、HTTP 或 HTTPS 服务器上重置时获取,该服务器在电话内置 Web 界面的高级设置 配置服务器设置页面中进行配置。
遗憾的是,如果 aastra.cfg 文件没有
admin password
,密码将恢复为默认值。因此,当可以访问时,管理员密码必须在 aastra.cfg 文件中以明文形式公开。如果你问的话,这是一个安全漏洞。这个情报很有用。