SYSS-2019-023: Fehlende Authentifizierung für kritische Funktionen bei innovaphone VoIP-Telefonen

Ein Advisory von IT Security Consultant Moritz Abrell

Bei der Untersuchung von VoIP-Telefonen des deutschen Herstellers innovaphone AG entdeckte IT Security Consultant Moritz Abrell eine Schwachstelle bei der Authentifizierung von kritischen Funktionen.

Um die Geräte zu konfigurieren und Updates sowie Backups durchzuführen, wird ein Updateservice benutzt. 
Dabei sendet das Gerät einen HTTP GET-Request an die zuvor konfigurierte URL. Der Server antwortet mit einem Textskript, um Änderungen am Gerät durchzuführen.
Ändert man nun diese Server-Response, nimmt das Gerät die Response entgegen und führt die Änderungen durch.
So ist es einem Angreifer möglich, jegliche Konfiguration am Gerät ohne Authentifizierung vorzunehmen. 
Durch diese Schwachstelle werden mehrere Angriffsszenarien ermöglicht. 
Ein Angreifer könnte beispielsweise die Administratorzugangsdaten ändern, um Vollzugriff auf das Gerät zu erhalten.

Bei der Untersuchung wurde festgestellt, dass bei der verschlüsselten Kommunikation mithilfe des SSL/TLS-Protokolls keine clientseitige Zertifikatüberprüfung stattfindet. 
Selbst ein vollständig entleerter Trust Store auf dem Gerät ermöglicht eine Verbindung zum Angreifer-Webserver via HTTPS.
Dadurch kann die Schwachstelle über einen "SSL-Strip"-, "DNS-Spoof"- oder "TLS-Proxy"-Angriff ausgenutzt werden. 
Außerdem ist es möglich, die Update-URL in den DHCP-Optionen zu hinterlegen, wodurch sich ein Angreifer die HTTP GET-Requests an seinen Webserver senden lassen kann.

Detaillierte Informationen zu dieser gefundenen Schwachstelle finden Sie in unserem Security Advisory/You will find detailed information about this security issue in our Security Advisory:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer