Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1394

[Cisco/CUCM] Schwachstelle im Cisco Unified Communications Manager (vorm. CallManager)
(2007-07-12 09:42:18.642636+00) Druckversion

Quelle: http://archive.cert.uni-stuttgart.de/bugtraq/2007/07/msg00099.html

Zwei Pufferüberlaufschwachstellen im VoIP-Vermittlungssystem Cisco Unified Communications Manager (CUCM, ehemals als Cisco CallManager bezeichnet) können von einem Angreifer dazu ausgenutzt werden, ein betroffenes System in einen unbenutzbaren Zustand zu versetzen oder beliebigen Programmcode auf dem beherbergenden Rechnersystem mit erhöhten Privilegien auszuführen.

Betroffene Systeme

  • Cisco Unified CallManager 3.3 vor Version 3.3(5)SR2b
  • Cisco Unified CallManager 4.1 vor Version 4.1(3)SR5b
  • Cisco Unified CallManager 4.2 vor Version 4.2(3)SR2b
  • Cisco Unified Communications Manager 4.3 vor Version 4.3(1)SR1
  • Cisco Unified CallManager 5.0 und Communications Manager 5.1 vor Version 5.1(2a)

Nicht betroffene Systeme

  • Cisco Unified CallManager 3.3(5)SR2b
  • Cisco Unified CallManager 4.1(3)SR5b
  • Cisco Unified CallManager 4.2(3)SR2b
  • Cisco Unified Communications Manager 4.3(1)SR1
  • Cisco Unified CallManager 5.1(2a)
  • Cisco Unified CallManager 6.0
  • Cisco Unified CallManager Express

Einfallstor

  • Port 2444/tcp, bzw. der manuell für den CTL Provider Service konfigurierte Port
  • Port 2556/tcp, bzw. der manuell für den RIS Data Collector konfigurierte Port

Angriffsvoraussetzung
Zugriff auf ein Netzwerk über das Pakete an das o.b. Einfallstor gesandt werden kann.

Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)

Auswirkung

  • Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegen des CallManagers
    (user compromise)
    Hierbei ist zu beachten, dass der CallManager üblicherweise zwar nicht mit administrativen, jedoch mit erhöhten Privilegien (unter Microsoft Windows als Mitglied der Gruppe Power Users) läuft, was eine Kompromittierung des beherbergenden Rechnersystems erleichtern sollte.
  • Nichtverfügbarkeit des betroffenen Systems
    (denial of service)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  • Eine Pufferüberlaufschwachstelle im CTL Provider Service des Cisco Unified Communications Manager kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Prozesses auf dem beherbergenden Rechnersystem auszuführen oder das System in einen unbenutzbaren Zustand zu versetzen. Dabei ist es ausreichend, wenn der Angreifer ensprechend präparierten Verkehr an den Port 2444/tcp eines betroffenen Systems senden kann.
  • Eine weitere Pufferüberlaufschwachstelle im RIS Data Collector des CUCM kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Prozesses auf dem beherbergenden Rechnersystem auszuführen oder das System in einen unbenutzbaren Zustand zu versetzen. Dabei ist es ausreichend, wenn der Angreifer ensprechend präparierten Verkehr an den Port 2556/tcp eines betroffenen Systems senden kann.
Es ist zu beachten, dass CUCM üblicherweise zwar keine administrativen, jedoch erhöhte Privilegien besitzt (unter Microsoft Windows läuft der CUCM mit den Privilegien der Gruppe Power Users), was eine Kompromittierung des beherbergenden Rechnersystems durch die Ausnutzung dieser Schwachstelle vereinfacht.

Workaround

  • Abschaltung des CTL Provider Service solange er nicht gebraucht wird. CTLPS wird normalerweise nur während der Konfiguration des Authentifizierungssystems sowie des Verschlüsselungssystems des CUCM benötigt.
  • Einschränkung des Netzverkehrs auf Port 2444/tcp des CUCM auf das erforderliche Minimum mittels eines Firewallsystems. Normalerweise benötigt nur der CTL-Client Zugriff, der auf Rechnersystemen installiert ist, mit denen administrative Aufgaben auf dem CUCM erledigt werden.
  • Einschränkung des Netzverkehrs auf Port 2556/tcp des CUCM auf das erforderliche Minimum mittels eines Firewallsystems.

Gegenmaßnahmen

Vulnerability ID

  • CSCsi03042 (nur für registrierte Cisco-Kunden zugreifbar)
  • CSCsi10509 (nur für registrierte Cisco-Kunden zugreifbar)
  • CVE-Namen sind bislang noch nicht vergeben

Weitere Information zu diesem Thema
Information zur Abschaltung des CTL Provider Service:

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.