[Info] Backdoors in Auerswald TK-Anlagen entdeckt

... und somit gibt es lt. verlinktem Text seit November bereits Firmware 8.2B, weil Auerswald im September Bescheid bekommen hat.
 
Auch wenn die Backdoors jetzt raus sind: Hier wurde das 1*1 der IT-Security missachtet und quasi "security by obscurity" betrieben. Das nagt schon stark am Vertrauen in den Hersteller.
 
Möglicherweise hatten die schon genug Kunden, die regelmäßig abschließen und den Schlüssel wegwerfen. Und wie in den Heise-Kommentaren steht, war das kein simpler Account mit admin:admin o.ä.. sondern ein relativ gut abgesicherter Notfallzugang. Ein versenkter Rücksetz-Taster hätte da auch gereicht, aber man will ja den Anlagenbetreuern nicht die 256,-/h wegnehmen.

Bei meiner Anlage muss ich nur die letzte gesicherte VM wiederherstellen und evtl. eine neuere Sicherung einspielen und alles ist wieder gut.
 
Ich pflege, mich nicht an denen zu orientieren die noch schlechter sind als ich. Was Auerswald da gemacht hat, ist schlichtweg security by obscurity. Der Zugang ist nur sicher, solange das Verfahren geheim ist.
Da sie garantiert weiterhin einen Zugang zu den Kisten haben wollen resp. brauchen, wird da jetzt wohl ein Ersatz werkeln. Hoffentlich besser durchdacht.

Es hat sich mir nie erschlossen was dieses Gehampel soll, dass sich die Kisten nicht komplett auf Auslieferungszustand zurücksetzen lassen.
Wenn dann möchte man wohl eher Zweitverwertung unterbinden oder dran mit verdienen, denn bspw. bei den älteren COMmandern konnte das Errichterkennwort auch ausschließlich durch Auerswald zurückgesetzt werden.
 
Da hat den Entwicklern aus Cremlingen endlich mal jemand gezeigt, wie simpel die sich Security auf deren Technik vorstellen!
Für echte Hacker wäre das ein Kinderspiel, u. auf den alten CB Anlagen das Gezehter immer mit den Passwörtern, da gabs schon damals genug Tools um das auszuhebeln, wenn man physikalischen Zugriff auf der Kiste hatte. Nur welcher Kd. als User will sich sowas antun?
Wie man in dem Bericht auch lesen kann, war zu erkennen wie sich die spez. Passwörter selber generieren ließen.
 
Melitta Geräte haben zwar wenig mit IP Phone zu tun, aber auch so ein Backdoor.
 
Man sollte aber bedenken, dass man diese Backdoor nur ausnutzen kann/konnte wenn die Weboberfläche der Anlage von außen erreichbar ist (oder wenn sich jemand im internen Netz gerade die TK Anlage für den Angriff ausgesucht hat).
Die Errichter der Anlagen, die eine Portweiterleitung 80/443 auf die Anlage eingerichtet haben gehören geschlagen. Das macht man einfach nicht.
Für die Fernsteuerung der Anlage nutzt man einen VPN und kein Webinterface das im Internet steht. Am besten noch mit "admin" als User und "Auerswald" oder "123456" als Passwort...
 
Wenn man einen Satz anfängt mit "Man kann das nur ausnutzen, wenn..." unterschätzt man das Risiko schon das erste mal.
Und offenbar ist das Problem so groß, resp. gibt so viele Anlagen die komprommitiert wurden, dass Auerswald hier nochmal extra drauf hinweist:

Mit Verlaub, aber gerade bei Technikern die aus der ISDN-Welt kommen und mit "dem ganzen Netzwerkkram" nie so richtig warm geworden sind, sehe ich so ein Verhalten, wo nach Herzenslust Portweiterleitungen gemacht werden, alle Anlagen das gleiche Passwort haben, etc.
Und wenn man dann mal darauf hinweist, bekommt man dann wieder gerne security by obscurity verkauft, a la "Aber es weiß doch niemand, dass genau hinter diesem DynDNS-Host und genau diesem Port so eine Anlage ist."
 
  • Like
Reaktionen: Karl.
Mit Verlaub, aber gerade bei Technikern die aus der ISDN-Welt kommen und mit "dem ganzen Netzwerkkram" nie so richtig warm geworden sind, sehe ich so ein Verhalten, wo nach Herzenslust Portweiterleitungen gemacht werden, alle Anlagen das gleiche Passwort haben, etc.
Und wenn man dann mal darauf hinweist, bekommt man dann wieder gerne security by obscurity verkauft, a la "Aber es weiß doch niemand, dass genau hinter diesem DynDNS-Host und genau diesem Port so eine Anlage ist."

Genau. Und gerade die sind es, die Portweiterleitungen in Massen einrichten. Siehe auch in dem Auerswald Artikel:
"Da die Sicherheitslücke über die Weboberfläche der ITK-Anlage ausgenutzt werden kann,..."

Es gibt jede Menge Errichter aus der ISDN Zeit (oder Leute die selbst Sachen probieren und nachher Portweiterleitungen nicht wieder entfernen...) die von Netzwerk und Sicherheit wenig Ahnung haben.

Was ich schon an Anlagen und Routerkonfigurationen gesehen habe, das sollte man besser nicht erwähnen. Da war alles dabei. Von Portweiterleitung 5060 (obwohl der von extern gar nicht genutzt wurde), über andere VoIP Ports bis hin zu 80/443. Das beste war eine Kundenanlage - dort waren alle Ports die Auerswald sauber in der Portübersicht auflistet in der FritzBox weitergeleitet. ALLE. Der Kunde meinte nur das hat einen Tag gedauert, dann lief aber auch alles....
Was ich auch schon gesehen habe - Kunde selbst hat am Router und an den Passwörtern "gespielt" weil er ein telefon zu Hause anbinden wollte. Da es nicht klappte hat er das Kennwort immer leichter gemacht. Der Teilnehmer "40" hatte als PW "404040". Auch der hat jede Menge Portweiterleitungen eingetragen, inkl 80 und 443. Warum konnte er selber nicht sagen.

Wenn jetzt ein Errichter seinen Kunden unter Kontrolle hat, der Kunde nicht herumspielt ist der erste Satz genau richtig.
Wer die Anlagen sauber errichtet hat, keine Portforwardings nutzt muss wenig (bis gar nichts) befürchten.
Und wer als Errichter 80/443 für die APP Nutzung freigegeben hat, der muss dringend handeln. Das sind meist wieder die aus der ISDN Zeit, die keine VPNs kennen. (Obwohl ich eigentlich auch "ISDN - Kind" bin, meine ersten errichteten Anlagen waren ISTEC1003/1008, teilweise mit nationalem ISDN.)
 
Nicht vergessen, dass Auerswald KEINEN relay Service für die App-Nutzung hat!

wer also die Auerswald Apps nutzen möchte sieht sich vor einem Problem.

sehr sehr viele lösen diese Anforderung dann mit einer NAT Regel.

nur bessere machen das mit VPN on demand.

Und weil Das wieder nur wenige beherrschen machen die meisten das nicht. Oder nutzen nur einfaches VPN. Was dann aber den Anwender frustet und dann schnell wieder zu einer NAT Regel führt.
 
Ja, mal ist das Problem die Software, mal sitzt aber auch das Problem vor dem Bildschirm...
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.