我管理一个有 VOIP 电话的网络。有些电话很旧阿斯特拉 67xxi。它们有一个内置的 Web 界面用于管理。这些电话位于以太网上,与内部网络物理隔离,并位于专用光纤盒的 NAT 后面。我希望这能让我相对安全地免受外部攻击。
然而,任何能够物理访问手机的人(或在该网络上插入装有浏览器的 PC 的人,包括手机的辅助以太网连接器)以及知道手机管理员密码的人都可以访问手机的管理界面。从那里他们可以把事情搞得一团糟,理论上可以让手机下载可用于任何邪恶目的的恶意固件(高级持续性威胁)。
我正在尝试做出明智的决定:将管理员密码更改为比默认的 22222 更安全的密码,以阻止远程†攻击。唯一的问题是我找不到任何菜单,无论是在手机本身还是在远程管理 Web 界面上。我可以更改用户密码,但不能更改管理员密码。
有人知道如何更改 Aastra 67xxi VOIP 电话上的管理员密码吗?
† 这只会让那些拥有手机物理访问权限的人的攻击变得更加复杂:他们仍然可以将手机恢复为出厂默认设置,以绕过管理员密码。除非他们巧妙地修改固件,否则远程管理员有机会检测到密码已更改。
答案1
当电话解析 aastra.cfg 文件并遇到类似以下行时,Aastra 67xxi VOIP 电话的密码将被更改
admin password: 63749381
该文件(名称似乎是硬编码的)在重置时从配置在高级设置 配置服务器设置手机内置Web界面的页面。
遗憾的是,如果 aastra.cfg 文件没有admin password,密码似乎会恢复为默认值。因此,当可访问 aastra.cfg 文件时,管理员密码必须以明文形式显示。如果您问的话,这是一个安全漏洞。
这些信息很有用。