Mitel SIP-Phones anfällig für unbefugte Zugriffe
Mitel-SIP-Phones und -Konferenz-Produkte ermöglichen unbefugte Zugriffe und das Ausführen von Schadcode. Updates stehen bereit.
Angreifer können Telefone attackieren.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Schwachstellen in den Mitel-SIP-Phones und -Konferenzprodukte ermöglichen Angreifern, unbefugt auf die Geräte zuzugreifen, Schadcode auszuführen oder mittels Denial-of-Service lahmzulegen. Aktualisierte Firmware dichtet die Sicherheitslecks ab. Uneinigkeit herrscht bei der Risiko-Einordnung.
Mitel hat mehrere Sicherheitsmitteilungen veröffentlicht, in denen das Unternehmen vor den Schwachstellen warnt. Betroffen sind demnach die Mitel 6800-Reihe, 6900er-Baureihe sowie die 6900w-SIP-Phones, einschließlich der Konferenz-Einheit 6970.
Mitel-SIP-Phone-Lücken: Unterschiedliche Einordnungen des Risikos
Mitel stuft alle Sicherheitslecks als mittleres Risiko ein. Das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt jedoch zu der Einschätzung, dass es sich um kritische Schwachstellen mit einem CVSS-Wert von 9.8 handelt. Die Zusammenfassung ist jedoch fast gleichlautend zu den Auswirkungen, die Mitel nennt: Entfernte, anonyme Angreifer können "mehrere Schwachstellen in Mitel SIP Phone ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen."
Die schwerwiegendste Sicherheitslücke erlaubt Angreifern laut Mitel, beliebige Befehle im Gerätekontext auszuführen, die SIP-Phone-Konfiguration zu ändern und auf sensible Informationen zuzugreifen. Dafür benötigen sie jedoch administrative Rechte (CVE-2024-31966). Ohne vorherige Authentifizierung können bösartige Akteure hingegen auf verwundbare Geräte zugreifen und die SIP-Phone-Konfiguration ändern – das könne zu einem Denial-of-Service-Status führen (CVE-2024-31964). Eine ähnliche Lücke erlaubt nicht angemeldeten Angreifern unbefugten Zugriff auf Nutzerinformationen oder die Konfiguration, was die Vertraulichkeit herabsetzen könne (CVE-2024-31967).
Konkrete Hinweise, ob etwa eine Verkettung der Schwachstellen das Einschmuggeln von Schadcode ermöglichen kann, liefert Mitel nicht. Das CERT-Bund erläutert ebenfalls nicht, wie die Einschätzung als kritische Lücken zustande kommt. Wir haben dort angefragt und aktualisieren die Meldung bei Antwort entsprechend.
Lesen Sie auch
HP Poly CCX IP-Telefone erlauben unbefugten Zugriff
Konkret betroffen sind Mitel 6800 und 6900 Series SIP Phones mit Firmware Version 6.3 SP3 HF4 und vorherigen sowie Mitel 6900 Series SIP Phones mit Firmwarestand 6.3.3 und älter. Zudem ist die Mitel 6970 Conference Unit mit Stand 5.1.1 SP8 und vorherigen verwundbar. Für alle Geräte stellt Mitel die Firmware 6.4 und neuer bereit, die die Sicherheitslücken abdichten.
Die Sicherheitsmitteilungen von Mitel sind im Einzelnen:
- Security Bulletin ID: 24-0009-001 CVE-2024-31966, CVSS 6.8, Risiko laut Mitel "mittel"
- Security Bulletin ID: 24-0006-001 CVE-2024-31966, CVSS 6.5, mittel
- Security Bulletin ID: 24-0007-001 CVE-2024-31964, CVSS 6.5, mittel
- Security Bulletin ID: 24-0010-001 CVE-2024-31967, CVSS 5.3, mittel
- Security Bulletin ID: 24-0008-001 CVE-2024-31965, CVSS 4.9, mittel
IT-Verantwortliche, die anfälligen mit Mitel-SIP-Phones einsetzen, sollten die Aktualisierungen zügig herunterladen und anwenden.
Das CERT-Bund hat bei der Bewertung zunächst eine potenzielle Ausnutzbarkeit aus dem Netz angenommen. Der im Mitel-Advisory für die gravierendste Lücke angegebenen CVSS-Vektor gibt mit "Privileges Required (PR) = N" an, dass anders als im Beschreibungstext keine Admin-Rechte, sondern keinerlei Privilegien nötig sind. Der Hersteller hat da einen Widerspruch. Wir haben dort diesbezüglich eine Anfrage gestellt.
(dmk)