Sicherheitslücken in Mitel 6800 Series, 6900 Series und 6900w Series SIP Phones

[tango501]

Mitel hat Sicherheitslücken in den Mitel 6800 Series, 6900 Series und 6900w Series SIP Phones, einschliesslich 6970 Conference Unit veröffentlicht. Updates dafür sind bereits verfügbar. Quellen:

https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin240006001-v10.pdf

https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin240007001-v10.pdf

https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin240008001-v10.pdf

https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin240009001-v10.pdf

https://www.mitel.com/-/media/mitel/file/pdf/support/security-advisories/security-bulletin240010001-v10.pdf

Auch beim BSI gibt es dazu eine entsprechende Warnung.
Quelle: https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0924

 

[Limer]

Die CVE ist CVE-2024-31966 laut Mitel Product Security Advisory 24-0009

Aber wo kann man die aktuelle Firmware 6.4 bekommen?

Alles was ich finde ist version 6.3 https://www.mitel.com/open-solutions/6800

 

[tango501]

Die CVE ist CVE-2024-31966

Es gibt insgesamt 5 Sicherheitslücken mit 5 CVEs.

• Buffer Overflow Vulnerability (CVE-2024-31963)
• Authentication Bypass Vulnerability (CVE-2024-31964)
• Path Traversal Vulnerability (CVE-2024-31965)
• Argument Injection Vulnerability (CVE-2024-31966)
• Information Disclosure Vulnerability (CVE-2024-31967)

In den Datenbanken werden diese CVEs derzeit nur als "RESERVED" angezeigt. "This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided."

CVE - CVE-2024-31963

CVE - CVE-2024-31964

CVE - CVE-2024-31965

CVE - CVE-2024-31966

CVE - CVE-2024-31967

Oder die CVEs werden bislang noch gar nicht gefunden "CVE ID Not Found".

NVD - CVE-2024-31963

nvd.nist.gov

NVD - CVE-2024-31964

nvd.nist.gov

NVD - CVE-2024-31965

nvd.nist.gov

NVD - CVE-2024-31966

nvd.nist.gov

NVD - CVE-2024-31967

nvd.nist.gov

Aber wo kann man die aktuelle Firmware 6.4 bekommen?

Im freien Download ist diese Firmware nicht verfügbar. Als ersten Ansprechpartner würde ich mich da an den Verkäufer der Hardware wenden. Falls Dieser nicht mehr verfügbar ist, hilft alternativ auch der folgende Link bei der Suche:

UCM

powerup.mitel.com

 

[Rangierdraht]

Weiß jemand wie sich die Sicherheitslücke auswirkt?
Ist das Telefon nur im Netzwerk kompromitierbar oder auch von "außerhalb" ?

 

[chrsto]

Es ist ja noch nichts veröffentlicht. Aber so wie es sich liest, scheint wohl der Webserver betroffen zu sein und das lässt sich auch innerhalb des LANs über präparierte URLs bzw. Webseiten ausnutzen.

 

[tango501]

Weiß jemand wie sich die Sicherheitslücke auswirkt?

Die infos dazu stehen in den Security Bulletins unter der Überschrift "RISK / EXPOSURE".
Bitte die PDFs dazu herunterladen und dort nachlesen.

Das BSI sagt übrigens dazu das Folgende:
"Ein Angreifer kann mehrere Schwachstellen in Mitel SIP Phone ausnutzen, um beliebigen Code auszuführen, einen Denial-of-Service-Zustand zu verursachen oder vertrauliche Informationen offenzulegen."
Quelle: https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0924

Bei heise.de gibt es dazu auch noch Infos zum Nachlesen:

Mitel SIP-Phones anfällig für unbefugte Zugriffe

Mitel-SIP-Phones und -Konferenz-Produkte ermöglichen unbefugte Zugriffe und das Ausführen von Schadcode. Updates stehen bereit.

www.heise.de

 

[Rangierdraht]

Das sind alles nur wage Aussagen wichtig wäre mir ob ein Angreifer innerhalb des Netzes sein muß, oder ob er über die Firewall damit kommt.

 

[chrsto]

Ein direkter Zugriff von extern wohl nicht. Das Telefon ist von außen ja nicht direkt erreichbar. Aber wie ich bereits schrieb, könnte eine Webseite präpariert sein, die einen Link enthält (http://<lan-ip-des-telefons>/<schädliche-url-mit-befehl>).

Wenn du deine Telefone in einem (V)LAN separiert hast, dann ist die Gefahr natürlich deutlich geringer.

Genaueres wird man aber wohl erst erfahren, wenn alles öffentlich ist.

 

[bubblegun]

Ich habe für die 68er VLAN eingerichtet, das war auch "irgendwie und irgendwo" einstellbar. Finde ich aber unter Mitel 104 nicht mehr. "Ich glaube" das war früher unter Einstellungen direkt am Telefon zu konfigurieren, nun nicht mehr, aber auch im Konfig-Menü der Mitel 104 ist da nix auffindbar.
Wie gesagt ist da "normalerweise" ein VLAN eingerichtet, aber ein Telefon wurde nachträglich reingequetscht, da ist eben kein VLAN eingerichtet, was nun?

 

[chrsto]

Die Mitel 104 hat 2 LAN Anschlüsse. Du könntest den 1. für die Verbindung mit den Telefonen nutzen, inkl. separater Switches und den 2. LAN Port für die Verbindung zu deinem Provider.

 

[bubblegun]

Prinzipiell ging es mir um die Einstellung in den Telefonen der 68er-Serie.
Als ewiger Bastler weiß ich jetzt nicht mehr ob ich mir das nur einbilde, ob die 68er-Serie das an den Mitel-Anlagen immer schon so machte und ich mir das nur einbilde, weil ich die als Sip-Telefone auch an der be.ip plus betrieben hatte.

 

[chrsto]

Dann kannst du das Telefon nur manuell, ohne automatische Provisionierung konfigurieren.

Alternativ über http://<ip-der mitel100>/cfw/drulli.asp?mode=a5xi-webunlock das Webinterface der 6800 freischalten. Ich weiß aber nicht, ob dort getätigte Änderungen dauerhaft erhalten bleiben.