Sicherheitsbug bei Thomson ST2030 Voice-over-IP-Telefon
Zusammenfassung:
Das Voice-Over-IP-Telefon Thomson ST2030 hat in der Firmwareversion 1.38 einen Sicherheitsbug, der dazu führen kann, dass Unberechtigte auf das Telefon per Telnet als Administrator zugreifen können.
Damit haben sie Zugriff auf viele Funktionen, die selbst über das Web-Administrator-Interface nicht abrufbar sind. Das Telefon kann beliebig manipuliert werden. Eventuell können auch Gesprächsdaten
abgegriffen werden.
Details:
Einem Anwender wird in der spärlichen Dokumentation nur das Webinterface zur Konfiguration des Telefons erklärt. Auf die Möglichkeit TELNET wird dabei gar nicht Hingewiesen. Wenn ein Anwender nun
das für alle Telefone identische Administrator Passwort ändert, so ändert er damit jedoch das Passwort für den TELNET-Zugang des Administrators NICHT.
Jeder der per Telnet das Telefon erreichen kann, kann sich damit mit dem Standard-Benutzernamen "administrator" und dem 6-stelligem Default-Passwort als Administrator an dem Telefon anmelden und es
umkonfigurieren und auch verschiedenste Diagnosefunktionen aufrufen, deren Tragweiten heute noch nicht ganz bekannt sind.
Warum ist das gefährlich ?
Der ahnungslose Anwender ändert das Administratorpasswort per Web-Interface und fühlt sich dadurch sicher. In Wirklichkeit ist sein Telefon (welches auch nur ein kleiner Computer in einem besonderem
Gehäuse ist) für Fremde völlig ungeschützt, weil das Standard-Administrator-Passwort allgemein bekannt ist.
Wie kann man sich schützen ?
1. Das Telefon solange nicht Benutzen, bis der Hersteller den Bug behoben und eine bessere Dokumentation nachgeliefert hat, oder
2. Sicherstellen dass der telnet-Port (port 23, TCP) aus dem Internet und Fremden im LAN aus nicht erreichbar ist, und/oder
3. Das Administrator-Telnet-Passwort manuell zusätzlich ändern. Dazu per telnet am Telefon als administrator anmelden und dann den folgenden Befehl eingeben: sys set telpwd 000000
(Anstatt der Nullen eine eigenes 6-stelliges Passwort eingeben) Disclaimer: Anwendung erfolgt auf eigene Gefahr!
Wichtig ! danach den Befehl reboot eingeben, damit das neue Passwort auch ins Flash permanent gespeichert wird.
Warum diese Seite ?
1. Der Hersteller soll zu einem schnellem Bugfix motiviert werden
2. Der Anwender soll vom Fehler Kenntnis erlangen und so die Möglichekeit erhalten sich zu schützen
3. Es soll das Allgemeine Bewusstsein gestärkt werden, dass (IP-)Telefone auch nur noch eine etwas spezielle Art von kleinen Computern geworden sind, und diese daher genauso Sicherheitslücken
haben, wie die "grossen" Computer. Es wird speziell bei der IP-Telefonie noch viel zu sorglos mit Sicherheitsaspekten umgegangen.
Aus diesen Gründen ist nach reiflicher Abwägung die Entscheidung gefallen, den Fehler zu publizieren, da der Nutzen für Kunden und Allgemeinheit deutlich grösser ist als das Risiko durch
Trittbrettfahrer.
Credits
Die Ehre für das Entdecken dieses Fehlers liegt nicht bei mir, sondern bei einer hier unbekannt bleibend wollenden Person, der ich hiermit für das Aufspüren danke.
Sie hat zumindest jetzt bewiesen, dass Security-Audits, auch von "harmlos" scheinenden kleinen Devices (wie z.B. Telefonen) notwendig sind.
Das Aufdecken des Fehlers erfolgte bei einem Security-Audit. Es wurden dazu nur öffentlich im Internet legal zugängliche Anleitungen wie z.B. diese verwendet.
Testbasis
Das Verhalten wurde an mehreren Telefonen mit der gleichen Firmware reproduziert. Andere Firmware stand zum Testen nicht zur Verfügung
Bemerkungen am Rande
Der Fehler wurde zuerst in einem Forum für IP-Telefonie veröffentlich, jedoch danach sofort von den dortigen Administratoren gelöscht. Mit dem Hinweis, dass zwischen "dem Forum" und der Firma
Thomson eine Vereinbarung geschlossen wurde, dass über solche Themen, die man weitestgehend als "Provisioning" bezeichnen könnte, nicht öffentlich im Forum geschrieben werden darf. Soviel also zur
vielgepriesenen Herstellerneutralität.
