Über eine Lücke im Zoom-Admin-Panel konnte man IP-Telefonen von Audiocodec manipulierte Firmware-Download-URLs zuweisen. Die Hersteller haben reagiert.
Der Security-Experte Moritz Abrell von SySS hat Schwachstellen bei der IP-Telefonie mithilfe des Zoom Zero Touch Provisioning-Prozesses in Kombination mit Audiocodes 400HD Telefonen entdeckt. Die Ergebnisse der Sicherheitsanalyse präsentierte der Deutsche bei der diesjährigen Black Hat USA. Angreifer könnten gemäß den Darstellungen Gesprächsinhalte mithören, ein Botnetz aus infizierten Geräten bilden oder auf Basis der Kompromittierung der Endgeräte die Netzwerke attackieren, in denen diese betrieben werden.
Provisionierung bei Cloud ohne Unternehmensnetz
Um ihre Angriffsfläche zu verringern, werden IP-Telefone in geschützten Netzen meist provisioniert, um Firmware und Konfigurationen auf die Geräte zu verteilen. Zur Vereinfachung erfolgt bei Cloud-basierenden Telefonielösungen wie Zoom Phone diese initiale Provisionierung ohne Umweg über eine gesicherte und speziell vorbereitete Umgebung im Unternehmens- oder Behördennetz.
Bei Zoom Phone kommt dabei der Zero Touch Provisioning Prozess zur Zuweisung von Endgeräten zu Nutzern und den zugehörigen Konfigurationen zum Einsatz. Die Endgeräte laden die Konfiguration entsprechend vom Server, wenn sich sie sich in Werkseinstellungen befinden und initial gestartet werden.
In der Analyse ließen sich gemäß den Schilderungen des Analysten über das Admin-Panel von Zoom beliebige MAC-Adressen für die Telefone des Herstellers Audiocodes hinterlegen, ohne dass ein Nachweis zum Eigentum des zugehörigen Geräts abgefragt wurde. Zoom hinterlegt in Folge auf dem Redirect Server des Herstellers Audiocodes – redirect.audiocodes.com – eine Umleitung des Provisionierungs- und Konfigurationsservers auf die Zoom-Server. Somit konnte Abrell einem neuen Gerät über die Zoom-Administration ein Konfigurationstemplate mit einer präparierten Firmware-Download-URL zuweisen. Auch ein Import multipler MAC-Adressen war möglich.
Weitere Schwachstellen entdeckt
Zudem fanden sich bei einer Prüfung auch Unzulänglichkeiten bei der Prüfung eines Firmware-Updates. Die zugehörige Checksummen-Prüfung ließ sich über ein manipuliertes Image überlisten. Somit installiert das Telefon im Nachgang an den Download ein manipuliertes Image. Somit könnten Angreifer unter anderem Gespräche mithören oder in interne Netze eindringen.
Bei Prüfungen von Umleitungspfaden der Audiocodes-Server wurden auch sensible Daten wie Konfigurationen und Kennwörter gefunden. Nutzer des Redirect Services sollten also prüfen, ob ihre sensiblen Daten öffentlichen bereitstehen.
Obwohl Abrell die Meldung an die Hersteller bereits im November 2022 übermittelt hat, sind einige der Lücken auch zum Zeitpunkt der Veröffentlichung noch offen. Details zur Ausnutzung der Schwachstellen stellt SySS auf seinem Tech-Blog zur Verfügung.