Veröffentlicht am
Heute berichtete heise.de unter Berufung auf das IT-Security-Untrnehmen VTRUST von einer schweren Sicherheitslücke im Autoprovisioning-System für Yealink-Telefone.
Ein Angreifer – so unser aktueller Kenntnisstand – könnte sich als Yealink-Telefon ausgeben, den Autoprovisioning-Server ansprechen und würde dann für die erfundene MAC-Adresse die notwendige Konfiguration (SIP-Zugangsdaten, Telefonbuch-Zugriff, Anruflisten, Tastenbelegung uvam.) bekommen.
Sofern es sich um diesen beschriebenen Angriffsvektor handelt, sind unsere Produkte HostedPBX und InstantPBX davon nicht betroffen:
HostedPBX
Bei der HostedPBX hat Swyx (der Hersteller unserer Telefonanlagen) ohnehin bereits auf einen zweiten Faktor, eine am Gerät einzugebene PIN gesetzt. Ohne diese kann ein Angreifer keine Provisionings-Daten abgreifen. Darüber hinaus ist – je nach Detailkonfiguration Ihrer Tk-Anlage – das Autoprovisioning außerhalb Ihres Netzwerkes meistens ohnehin deaktiviert.
InstantPBX
Bei der InstantPBX haben wir genau diesen Angriffsvektor bereits im Produktdesign 2015 als Risiko eingestuft und berücksichtigt. Das Autoprovisioning ist nicht permanent verfügbar, sondern nur in einem bestimmten Zeitfenster nach einer Neuanlage eines Benutzers, nach einer Hardware-Bestellung (bzw. nach Versandbestätigung durch uns) oder manuell, wenn Sie im Kundenmenü unter "Benutzer und Optionen" - "Zugangsdaten und Endgeräte" das Autoprovisioning initiieren.
Nach Ablauf dieses Zeitfensters erlaubt unser Autoprovisioning-Server keinen (erneuten) Download der Konfiguration. Ein Angreifer müsste also nicht nur Ihre MAC-Adresse erraten und simulieren, sondern auch wissen, wann Sie das Autoprovisioning-Zeitfenster aktiviert haben.
Dennoch: Sobald wir detaillierte Informationen von Yealink oder Heise zur Lücke erhalten haben, werden wir ggf. weitere Gegenmaßnahmen ergreifen.