Backdoor CVE-2021-40859 in Auerswald Telefonanlagen (z.B. COMpact 5500R 7.8A & 8.0B) gefixt

Publiziert am 21. Dezember 2021 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)[English]Auerswald ist ein deutscher Hersteller von Telefonanlagen für den Unternehmenseinsatz. Sicherheitsforscher haben in der Firmware von Auerswald Telefonanlagen (z.B. COMpact 5500R) Hintertüren entdeckt, über die man das Administrator-Passwort zurücksetzen konnte. Dies wurde zum 20.12.2021 offen gelegt. Hier einige Informationen dazu. Die Backdoor wurden in den Firmware-Versionen 7.8A & 8.0B beseitigt.

Anzeige

Auerswald COMpact 5500R

Die Auerswald COMpact 5500R ist eine Telefonanlage, mit der man, laut Hersteller, "bestens für den Businessalltag gerüstet" ist. Die Anlage besitzt eine vollmodulare Architektur mit 80 IP-Kanälen und sämtlichen Funktionen eines großen ITK-Servers. Sie erlaubt bis zu 112 Teilnehmer und skaliert auf diese Weise mit den Anforderungen eines Unternehmens.

Auerswald COMpact 5500R
Auerswald COMpact 5500R, Quelle: Auerswald

Kontinuierliche Pflege und Ausbau der System-Software soll diesen vielseitigen IP-Server zu einer zukunftssicheren Investition in jede Businesskommunikation machen. Vom Hersteller gibt es aber weitere Modelle an Telefonanlagen für unterschiedliche Einsatzfälle.

Firmware mit Hintertüren

Ich bin gerade auf Twitter über eine unschöne Informationen gestoßen. In der Firmware diverser Telefonanlagen gab es Hintertüren. In diesem Tweet legt ein Red-Team von Pentestern ihre Erkenntnisse zur Auerswald COMpact 5500R offen.

Backdoor in Auerswald COMpact 5500R

Bereits am 10. September 2021 sind die Tester der RedTeam Pentesting GmbH laut CVE-2021-40859 auf Hintertüren in der Firmware  7.8A und 8.0B der Auerswald Telefonanlagen (z.B. der COMpact 5500R) gestoßen. Die Pentester haben bei einem der Aufträge wir IP-Telefone und eine Telefonanlage von Auerswald untersucht. Diese Hintertüren ermöglichen Angreifern, die in der Lage sind, auf die webbasierte Verwaltungsanwendung zuzugreifen, vollen administrativen Zugriff auf das Gerät.

Das Ganze wurde wohl am 6. und 8. Dezember 2021 bekannt, die Entdecker haben es aber erst zum 20. Dezember 2021 im Blog-Beitrag INSIDE A PBX – DISCOVERING A FIRMWARE BACKDOOR öffentlich gemacht. Ein Advisory der RedTeam Pentesting  GmbH findet sich hier. Betroffen sind:

  • COMpact 3000 ISDN,
  • COMpact 3000 analog,
  • COMpact 3000 VoIP,
  • COMpact 4000,
  • COMpact 5000(R),
  • COMpact 5200(R),
  • COMpact 5500R,
  • COMmander 6000(R)(RX),
  • COMpact 5010 VoIP,
  • COMpact 5020 VoIP,
  • COMmander Business(19"),
  • COMmander Basic.2(19")

Die betroffenen Firmware-Versionen sind:

Anzeige
  • <= 8.0B (COMpact 4000, COMpact 5000(R), COMpact 5200(R), COMpact 5500R, COMmander 6000(R)(RX)),
  • <= 4.0S (COMpact 3000 ISDN, COMpact 3000 analog, COMpact 3000 VoIP)

Diese Hintertüren wurden in den Firmware-Versionen 8.2B und 4.0T beseitigt.

Details zur Hintertür

Eine PBX (Telefonanlage für IP-Telefonie) leitet eingehende und ausgehende Anrufe an die entsprechenden Ziele weiter, nicht anders als ein IP-Router. Unternehmen verwenden oft eine einzige Telefonnummer mit verschiedenen zusätzlichen Durchwahlnummern, die bestimmten Telefonen zugewiesen sind.

Bei der Analyse der Geräte fanden die Pentester einen Hinweis auf einen Service, den Auerswald für den Fall anbietet, dass ein Kunde die Zugangsdaten zu seinem Administrationskonto verliert. Durch Ausfüllen eines Dokuments und Kontaktaufnahme mit dem Hersteller kann das Administrator-Passwort der Telefonanlage zurückgesetzt werden. Die Tester fragten sich, wie dieser Prozess funktionieren könnte und beschlossen, das genauer anzusehen.

Dazu haben sich die Tester zunächst das Firmware-Image für die COMpact 5500, Version 7.8A, von der Auerswald-Support-Website heruntergeladen. Images wie dieses enthalten die Software für die TK-Anlage und werden zur Verfügung gestellt, um Kunden die Möglichkeit zu geben, das Gerät auf die neueste Version zu aktualisieren.

Nachdem das Format der Firmware bekannt war, wurde diese mit Ghidra untersucht. Dabei stießen die Tester im untersuchten Code eines Webservers der Firmware auf einen undokumentierten Benutzernamen Schandelah – der Ort, in dem Auerswald seinen Sitz hat. Das Passwort für diesen Benutzer ermittelt sich aus der Seriennummer der Anlage, dem aktuellen Datum, welches dann per MD5 Hash codiert wird. Von diesem Wert werden dann sieben Ziffern verwendet. Die Seriennummer kann man ohne Authentifizierung aus der Firmware auslesen.

Wer das Passwort ermittelt und sich dann mit dem Benutzernamen am Webserver der Telefonanlage anmeldet, kann anschließend das Administrator-Kennwort zurücksetzen. Funktioniert also wie spezifiziert, hat aber für den Besitzer der Telefonanlage unangenehme Konsequenzen, wenn Unbefugte das wissen.

Diese Passwort-Reset-Geschichte wurde von Auerswald auch bei anderen Modellen verwendet. Einige dieser Geräte sind (laut Shodan) sogar per Internet erreichbar, so dass Angreifer diese umkonfigurieren könnten. In Folge dieser Analyse hat Auerswald nun die Firmware aktualisiert (siehe), so dass die Backdoor entfernt wurde. Die Details lassen sich hier nachlesen.

Ähnliche Artikel:
Festes SA SQL-Passwort bei windata 9-Banking-Software
Git-Server von PHP gehackt – RCE-Backdoors in Code eingeschleust
Trojanisiertes Xcode-Projekt installiert Backdoor
Zyxel-Backdoor (CVE-2020-29583) wird aktiv ausgenutzt
TP-Link TL-WA701ND AP und die 'Backdoor'
SolarWinds-Systeme mit 2. Backdoor gefunden
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Backdoor CVE-2021-40859 in Auerswald Telefonanlagen (z.B. COMpact 5500R 7.8A & 8.0B) gefixt

  1. Kassandra sagt:
    21. Dezember 2021 um 13:00 Uhr

    Na dann sind wir mal gespannt, ob jemals aufgeklärt bzw. veröffentlicht wird, wer wann diese Backdoors eingebaut hat.

    Theorie: War evtl. irgendein russischer Praktikant, und falls es der war, ist der aber inzwischen umgezogen, kann man nichts machen. Alle weiteren Unterlagen mussten aus Datenschutzgründen inzwischen leider vernichtet werden. Aber jetzt ist alles sicher.

    Antworten
  2. Volker sagt:
    21. Dezember 2021 um 17:35 Uhr

    Was sollte es aufzuklären geben? Es war eine nicht dokumentierte Backdoor vom Hersteller.
    Zitat: "Service, den Auerswald für den Fall anbietet, dass ein Kunde die Zugangsdaten zu seinem Administrationskonto verliert".

    Wäre die Seriennummer nicht ohne Authentifizierung via URL auslesbar, wäre der Angriffsvektor nicht so einfach.

    Antworten
    • Zafira G. sagt:
      21. Dezember 2021 um 18:31 Uhr

      Weder das im "Service" Zitat genannte "Ausfüllen eines Dokuments" noch die genannte "Kontaktaufnahme mit dem Hersteller" sind notwendig.

      Da man annehmen darf, dass ein Hersteller ziemlich genau weiss, ob/wie seine Seriennummern ausgelesen werden können, lässt das ganze eine Backdoor vermuten, die so in diesen "Service" eingebaut wurde, dass sie auch von Dritten genutzt werden kann.

      Aufzuklären ist, wer das zu verantworten hat.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.