[Info] Backdoors in Auerswald TK-Anlagen entdeckt

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,607
Punkte für Reaktionen
249
Punkte
63
... und somit gibt es lt. verlinktem Text seit November bereits Firmware 8.2B, weil Auerswald im September Bescheid bekommen hat.
 

sunnyman

Mitglied
Mitglied seit
13 Jan 2006
Beiträge
696
Punkte für Reaktionen
71
Punkte
28
Auch wenn die Backdoors jetzt raus sind: Hier wurde das 1*1 der IT-Security missachtet und quasi "security by obscurity" betrieben. Das nagt schon stark am Vertrauen in den Hersteller.
 

kleinkariert

Aktives Mitglied
Mitglied seit
21 Mai 2019
Beiträge
1,607
Punkte für Reaktionen
249
Punkte
63
Möglicherweise hatten die schon genug Kunden, die regelmäßig abschließen und den Schlüssel wegwerfen. Und wie in den Heise-Kommentaren steht, war das kein simpler Account mit admin:admin o.ä.. sondern ein relativ gut abgesicherter Notfallzugang. Ein versenkter Rücksetz-Taster hätte da auch gereicht, aber man will ja den Anlagenbetreuern nicht die 256,-/h wegnehmen.

Bei meiner Anlage muss ich nur die letzte gesicherte VM wiederherstellen und evtl. eine neuere Sicherung einspielen und alles ist wieder gut.
 

sunnyman

Mitglied
Mitglied seit
13 Jan 2006
Beiträge
696
Punkte für Reaktionen
71
Punkte
28
Ich pflege, mich nicht an denen zu orientieren die noch schlechter sind als ich. Was Auerswald da gemacht hat, ist schlichtweg security by obscurity. Der Zugang ist nur sicher, solange das Verfahren geheim ist.
Da sie garantiert weiterhin einen Zugang zu den Kisten haben wollen resp. brauchen, wird da jetzt wohl ein Ersatz werkeln. Hoffentlich besser durchdacht.

Es hat sich mir nie erschlossen was dieses Gehampel soll, dass sich die Kisten nicht komplett auf Auslieferungszustand zurücksetzen lassen.
Wenn dann möchte man wohl eher Zweitverwertung unterbinden oder dran mit verdienen, denn bspw. bei den älteren COMmandern konnte das Errichterkennwort auch ausschließlich durch Auerswald zurückgesetzt werden.
 

Tele-Info

Mitglied
Mitglied seit
18 Mrz 2012
Beiträge
365
Punkte für Reaktionen
45
Punkte
28
Da hat den Entwicklern aus Cremlingen endlich mal jemand gezeigt, wie simpel die sich Security auf deren Technik vorstellen!
Für echte Hacker wäre das ein Kinderspiel, u. auf den alten CB Anlagen das Gezehter immer mit den Passwörtern, da gabs schon damals genug Tools um das auszuhebeln, wenn man physikalischen Zugriff auf der Kiste hatte. Nur welcher Kd. als User will sich sowas antun?
Wie man in dem Bericht auch lesen kann, war zu erkennen wie sich die spez. Passwörter selber generieren ließen.
 

Karl.

Aktives Mitglied
Mitglied seit
18 Jul 2019
Beiträge
1,482
Punkte für Reaktionen
220
Punkte
63
Melitta Geräte haben zwar wenig mit IP Phone zu tun, aber auch so ein Backdoor.
 

holy142

Neuer User
Mitglied seit
4 Apr 2021
Beiträge
13
Punkte für Reaktionen
5
Punkte
3
Man sollte aber bedenken, dass man diese Backdoor nur ausnutzen kann/konnte wenn die Weboberfläche der Anlage von außen erreichbar ist (oder wenn sich jemand im internen Netz gerade die TK Anlage für den Angriff ausgesucht hat).
Die Errichter der Anlagen, die eine Portweiterleitung 80/443 auf die Anlage eingerichtet haben gehören geschlagen. Das macht man einfach nicht.
Für die Fernsteuerung der Anlage nutzt man einen VPN und kein Webinterface das im Internet steht. Am besten noch mit "admin" als User und "Auerswald" oder "123456" als Passwort...
 

sunnyman

Mitglied
Mitglied seit
13 Jan 2006
Beiträge
696
Punkte für Reaktionen
71
Punkte
28
Wenn man einen Satz anfängt mit "Man kann das nur ausnutzen, wenn..." unterschätzt man das Risiko schon das erste mal.
Und offenbar ist das Problem so groß, resp. gibt so viele Anlagen die komprommitiert wurden, dass Auerswald hier nochmal extra drauf hinweist:

Mit Verlaub, aber gerade bei Technikern die aus der ISDN-Welt kommen und mit "dem ganzen Netzwerkkram" nie so richtig warm geworden sind, sehe ich so ein Verhalten, wo nach Herzenslust Portweiterleitungen gemacht werden, alle Anlagen das gleiche Passwort haben, etc.
Und wenn man dann mal darauf hinweist, bekommt man dann wieder gerne security by obscurity verkauft, a la "Aber es weiß doch niemand, dass genau hinter diesem DynDNS-Host und genau diesem Port so eine Anlage ist."
 
  • Like
Reaktionen: Karl.

holy142

Neuer User
Mitglied seit
4 Apr 2021
Beiträge
13
Punkte für Reaktionen
5
Punkte
3
Mit Verlaub, aber gerade bei Technikern die aus der ISDN-Welt kommen und mit "dem ganzen Netzwerkkram" nie so richtig warm geworden sind, sehe ich so ein Verhalten, wo nach Herzenslust Portweiterleitungen gemacht werden, alle Anlagen das gleiche Passwort haben, etc.
Und wenn man dann mal darauf hinweist, bekommt man dann wieder gerne security by obscurity verkauft, a la "Aber es weiß doch niemand, dass genau hinter diesem DynDNS-Host und genau diesem Port so eine Anlage ist."

Genau. Und gerade die sind es, die Portweiterleitungen in Massen einrichten. Siehe auch in dem Auerswald Artikel:
"Da die Sicherheitslücke über die Weboberfläche der ITK-Anlage ausgenutzt werden kann,..."

Es gibt jede Menge Errichter aus der ISDN Zeit (oder Leute die selbst Sachen probieren und nachher Portweiterleitungen nicht wieder entfernen...) die von Netzwerk und Sicherheit wenig Ahnung haben.

Was ich schon an Anlagen und Routerkonfigurationen gesehen habe, das sollte man besser nicht erwähnen. Da war alles dabei. Von Portweiterleitung 5060 (obwohl der von extern gar nicht genutzt wurde), über andere VoIP Ports bis hin zu 80/443. Das beste war eine Kundenanlage - dort waren alle Ports die Auerswald sauber in der Portübersicht auflistet in der FritzBox weitergeleitet. ALLE. Der Kunde meinte nur das hat einen Tag gedauert, dann lief aber auch alles....
Was ich auch schon gesehen habe - Kunde selbst hat am Router und an den Passwörtern "gespielt" weil er ein telefon zu Hause anbinden wollte. Da es nicht klappte hat er das Kennwort immer leichter gemacht. Der Teilnehmer "40" hatte als PW "404040". Auch der hat jede Menge Portweiterleitungen eingetragen, inkl 80 und 443. Warum konnte er selber nicht sagen.

Wenn jetzt ein Errichter seinen Kunden unter Kontrolle hat, der Kunde nicht herumspielt ist der erste Satz genau richtig.
Wer die Anlagen sauber errichtet hat, keine Portforwardings nutzt muss wenig (bis gar nichts) befürchten.
Und wer als Errichter 80/443 für die APP Nutzung freigegeben hat, der muss dringend handeln. Das sind meist wieder die aus der ISDN Zeit, die keine VPNs kennen. (Obwohl ich eigentlich auch "ISDN - Kind" bin, meine ersten errichteten Anlagen waren ISTEC1003/1008, teilweise mit nationalem ISDN.)
 

ip-phoneforum72

Mitglied
Mitglied seit
31 Okt 2020
Beiträge
203
Punkte für Reaktionen
22
Punkte
18
Nicht vergessen, dass Auerswald KEINEN relay Service für die App-Nutzung hat!

wer also die Auerswald Apps nutzen möchte sieht sich vor einem Problem.

sehr sehr viele lösen diese Anforderung dann mit einer NAT Regel.

nur bessere machen das mit VPN on demand.

Und weil Das wieder nur wenige beherrschen machen die meisten das nicht. Oder nutzen nur einfaches VPN. Was dann aber den Anwender frustet und dann schnell wieder zu einer NAT Regel führt.
 

Karl.

Aktives Mitglied
Mitglied seit
18 Jul 2019
Beiträge
1,482
Punkte für Reaktionen
220
Punkte
63
Ja, mal ist das Problem die Software, mal sitzt aber auch das Problem vor dem Bildschirm...
 
Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via