סדרת הטלפונים השולחניים הארגוניים מבוססת ה-VoIP של אוויה (Avaya) היא מבין הפופולריות ביותר בתחום. אבל מתברר שהטלפונים, המתבססים על יישומי קוד פתוח, סובלים כנראה מפגיעות אבטחה שמאפשרת השתלטות על הטלפון מרחוק כדי להריץ קוד מרושע.
חברת האבטחה מק'אפי (McAfee) היא זו שחשפה את הבעיה והיא מזהירה את הארגונים המשתמשים בטלפוני ה-VoIP של אוויה לבדוק אותם כדי לוודא שהקושחה שלהם עודכנה ממש לאחרונה, אחרי שחוקרי החברה חשפו את קיום הבעיה בפני המהנדסים של אוויה. טלפוני ה-VoIP של אוויה נמצאים כיום על השולחנות בכ-90% מהחברות ברשימת Fortune 100 לצד שימוש רב גם בשוק ה-SMB, כך שהתפוצה של הבעיה רחבה למדי.
קבוצת המחקר המתקדמת של מק'אפי חשפה את הבעיה לראשונה בטלפון מסדרת ה-9600 של החברה. מדובר בפגיעות בפיסת תוכנת קוד פתוח שהחברה שינתה לפי כעשור, ומאז היא לא טופלה וכאמור זוהתה שוב בבדיקה האחרונה של חברת האבטחה הידועה. "מאז היא כשלה ולא פתחה טלאי אבטחה כדי למנוע את הפגיעות הזו. הבאג המשפיע על תוכנת הקוד פתוח דווח כבר ב-2009, ועם זאת הנוכחות שלו בטלפונים לא הובחנה עד עתה", אמר פיליפ לאולהרט, חוקר אבטחה בכיר במק'אפי.
באוויה הודו על שיתוף הפעולה עם הצוות של מק'אפי ועל הטיפול המשותף בבעיה. "יש לנו מדיניות ברורה ומוגדרת היטב שדורשת שהמוצרים שלנו ישתמשו בגרסאות התוכנה המעודכנות ביותר כדי להבטיח שנושאי אבטחה יטופלו בזמן. כבר הוצאנו תיקון אבטחה שמטפל בבעיה המוזכרת. לקוחות צריכים תמיד לוודא הגבלת הגישה הפיזית להתקני תקשורת לצוות מאושר בלבד ולמנוע טיפול בהתקנים אלו על ידי אנשים ללא אישורים", מסרה החברה.
מק'אפי שחררה, כחלק מהפוסט שמתאר את הבעיה, גם סרטון קצר שמראה איך אפשר לנצל את התקלה.
