11.02.2020
Medienbericht
Sicherheitslücke bei VoIP-Telefonen von Yealink
Autor: Waltraud Ritzer
Yealink
Wie Heise Online berichtet, gibt es eine schwerwiegende Sicherheitslücke im Autoprovisionierungsdienst von Yealink-Telefonen. Aufgedeckt hat diese Lücke das IT-Security-Unternehmen Vtrust.
Immer wieder kommt es zu Sicherheitslücken bei VoIP-Telefonen, erst im vergangenen Sommer hatte das Fraunhofer-Institut für Sichere Informationstechnologie in einem Test zum Teil gravierende Schwachstellen bei VoIP-Telefonen gefunden. Damals hatte das Institut 33 VoIP-Telefone von 25 Herstellern getestet - und 40 zum Teil gravierende Schwachstellen gefunden.
Nun hat das IT-Security-Unternehmen Vtrust laut einem Bericht von Heise Sicherheitslücken im Autoprovisionierungsverfahren von Yealink entdeckt. Angreifer können demnach auf die VoIP-Zugangsdaten, Anruferlisten, Telefonbücher, Tastenbelegungen und andere spezifische Daten zugreifen. Das könnte unter anderem ein Einfallstor für Fraud-Attacken sein, bei dem durch Rufnummernmissbrauch Gebührenbetrug möglich ist.
Vtrust hatte nach dem Heise-Bericht Yealink auf die Gefahr hingewiesen, bislang hat der Hersteller die Lücke wohl noch nicht geschlossen. Yealink gehört zu den Marktführern im SIP-Telefon-Bereich, die Telefone werden sehr häufig auch bei Cloud-PBX-Anbietern eingesetzt. Nutzen diese das Autoprovisioning-Verfahren von Yealink, so könnten auch deren Kunden in Gefahr sein.
2FA für mehr Sicherheit
„Wir wurden Ende November von Vtrust informiert und haben die Angelegenheit von Anfang an sehr ernst genommen“, erklärt Jan-Peter Koopmann, CTO von Nfon, im Gespräch mit com! professional. Nfon arbeite beständig an neuen Sicherheitskonzepten - „und uns war klar, dass wir uns auf die Hilfestellung vom Hersteller nicht verlassen können und auch dürfen“, so Koopmann weiter. Deshalb hat der Cloud-PBX-Anbieter die Zwei-Faktor-Authentifizierung zum Schutz der Endgeräte forciert und vor kurzem auch gelauncht. Zum Start gilt diese für Yealink-Endgeräte, weitere Hersteller sollen folgen. Ältere Endgeräte von Yealink sind laut Koopmann ebenfalls geschützt.
com! professional fragte auch bei anderen Anbietern nach, wie diese auf die Sicherheitslücke reagieren werden. Manche nutzen ein eigenes, zum Teil auch verschlüsseltes Autoprovisionierungs-Tool und sind deshalb nicht betroffen. Zu diesen gehören beispielsweise Pascom und auch Placetel.
HFO Telecom wiederum hat Yealink-Telefone in Verbindung mit seiner Cloud-PBX Crown Centrex im Einsatz und verweist darauf, dass das Unternehmen den Schaden - sollte überhaupt einer entstehen – in Grenzen halten könne.
HFO Telecom wiederum hat Yealink-Telefone in Verbindung mit seiner Cloud-PBX Crown Centrex im Einsatz und verweist darauf, dass das Unternehmen den Schaden - sollte überhaupt einer entstehen – in Grenzen halten könne.
Umweltschutz
Netcloud erhält ISO 14001 Zertifizierung für Umweltmanagement
Das Schweizer ICT-Unternehmen Netcloud hat sich erstmalig im Rahmen eines Audits nach ISO 14001 zertifizieren lassen. Die ISO-Zertifizierung erkennt an wenn Unternehmen sich nachhaltigen Geschäftspraktiken verpflichten.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Cloud-PBX
Ecotel erweitert cloud.phone-Lösung um MS Teams-Integration
Die Telefonanlage aus der Cloud von Ecotel - ein OEM-Produkt von Communi5 - cloud.phone, ist ab sofort auch mit Microsoft-Teams-Integration verfügbar.
>>