2015-0029: snom Desktop IP Phone Firmware: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten

Historie:

Version 1 (2015-01-13 14:10)

Neues Advisory

Version 2 (2015-01-14 19:11)

Korrektur zweier unverzeihlicher Typos.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware

Beschreibung:

Durch Ausnutzen dieser kritischen Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer die IP-Telefone komplett kompromittieren, d.h. Root-Rechte erlangen. Es ist u. a. möglich:

- Hintertüren einzubauen, die sogar nach einem Zurücksetzen des Systems auf den Auslieferungszustand fortbestehen,
- aus der Ferne das eingebaute Mikrofon zu aktivieren und dadurch den Raum, in welchem das Telefon steht, abzuhören,
- Telefonanrufe (getätigte und empfangene) anzuzapfen, z. B. indem ein Sniffer auf dem Telefon installiert wird,
- Telefonnummern auf eine hochpreisige Service-Nummer umzuleiten, wodurch hohe Kosten entstehen können,
- das Telefon als Sprungbrett in das interne Netzwerk zu missbrauchen und weitere Systeme anzugreifen.

snom stellt die gepatchte Firmware Version 8.7.5.15 (für alle Desktop Phones) zur Verfügung, um diese Schwachstellen zu adressieren.

Schwachstellen:

CVE-2015-0000

Mehrere Schwachstellen in VoIP Desk Phones

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.