[Alcatel-Lucent/OmniPCX Enterprise] Schwachstelle in OmniPCX Enterprise Release 7.0
(2007-06-07 11:33:44.891004+00)
Quelle:
http://cert.uni-stuttgart.de/advisories/al-ip-touch-vlan-filtering.php
Die voreingestellte Konfiguration von Alcatel-Lucent IP Touch Telefonen unter dem Voice-over-IP-System Alcatel-Lucent OmniPCX Enterprise 7.0 kann in Installationen, die IEEE 802.1q (VLAN) zur Trennung von Voice- und Datennetz und IEEE 802.1x zur Zugangskontrolle zum Voice-VLAN verwenden, von einem Angreifer dazu ausgenutzt werden, unauthentifiziert Zugang zum Voice-VLAN über ein 'daisy-chained' Computersystem zu erlangen.
Extrakt
ID: | RUS-CERT Advisory 2007-06:01 (1380) DE |
Betroffene Systeme: | Alcatel-Lucent OmniPCX Enterprise Release 7.0 und spätere Versionen |
Auswirkung: | Unauthentifizierter Zugriff auf das Voice-VLAN |
Angiffsvektorklasse: | mittelbar über eine Netzwerkverbindung (mediately remote (siehe 'Angriffsvoraussetzung' für Details) |
Typ der Verwundbarkeit: | Unsichere Voreinstellung (insecure defaults) |
Gefahrenpotential: | hoch |
Bedrohung: | mittel |
CVSS: | 6.2 |
CVE-Name: | CVE-2007-2512 |
Betroffene Systeme
- Alcatel Lucent OmniPCX 7.0 und spätere Versionen, in
Daisy-Chain-Konfigurationen und bei Einsatz von IEEE 802.1x
Nicht betroffene Systeme
- Alcatel Lucent OmniPCX vor Version 7.0, da keine IEEE 802.1x-Unterstützung vorhanden und so der Zugriff auf das Voice-VLAN trivial ist.
Angriffsvoraussetzung
- Physikalischer Zugriff auf den in das Alcatel-Lucent IP Touch Telefon eingebauten Mini-Switch;
In einer typischen Konfiguration werden Computersysteme an diesen Switch angeschlossen ("daisy chained"). Sofern ein solches Computersystem kompromittiert ist, kann die Schwachstelle über eine Netzwerkverbindung ausgenutzt werden.
(remote) - Unsichere Konfiguration des PC port state des Mini-Switches eines betroffenen IP Touch Telefones. Dies ist die Voreinstellung.
- Trennung des Voice-Netzes vom Datennetz mittels IEEE 802.1q-Technologie (VLAN)
- Zugriffsteuerung auf das Voice-VLAN mittels IEEE 802.1x
Einfallstor
In IP Touch Telefone eingebauter Mini-Switch
Auswirkung
Unauthentifizierter Zugriff von daisy chained Geräten auf das Voice-VLAN
Typ der Verwundbarkeit
unsichere voreingestellte Konfiguration
(insecure defaults)
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
CVSS Rating
Das Common Vulnerability Scoring System (CVSS) ist ein Ansatz, um ein standardisiertes Bewertungsschema für Softwareverwundbarkeiten bereitzustellen und zu etablieren.
CVSS Base Score | 7 |
CVSS Temporal Score | 5.8 |
CVSS Environmental Score | 6.2 |
Overall CVSS Score | 6.2 |
Base Score Metrics | |
Related exploit range (AccessVector) | Remote 1) |
Attack complexity (AccessComplexity) | Low |
Level of authentication needed (Authentication) | Not Required |
Confidentiality impact (ConfImpact) | Partial |
Integrity impact (IntegImpact) | Partial |
Availability impact (AvailImpact) | Partial |
Impact value weighting (ImpactBias) | Weight Availability |
Kontext
IP-Telefonie-Technologie (Voice-over-IP oder kurz VoIP) nutzt IP-basierte Datennetzwerke um sowohl Signalisierungsinformation als auch Sprachdaten zwischen Teilnehmern und Vermittlungseinheiten zu transportieren.
Neben den im Internet verfügbaren Diensten zum weltweiten Telefonieren vom PC aus, bieten verschiedene Hersteller VoIP-Produkte an, die vornehmlich zum Ersatz klassischer Telefonanlagen innerhalb von Unternehmen oder Einrichtungen gedacht sind. Sie sollen die dort meist gut ausgebaute IT-Infrastruktur mitverwenden, weitere Dienste integrieren und so einen wirtschaftlichen und technologischen Vorteil bei Neuanschaffung oder Austausch einer vorhandenen Telefonanlage bieten.
Nachdem für eine solche Telefonanlage andere rechtliche Normen gelten als für die vorhandene IT-Infrastruktur und insbesondere die Sicherheit eine große Rolle spielt, werden bei solchen Installationen zur Trennung des Sprach- vom Datennetz verschiedene Technologien eingesetzt.
Eine sehr verbreitete und aus Leistungsgründen auch in anderer Hinsicht nützliche Methode (vgl. Quality of Service), das Daten- und Sprachnetz 'virtuell' zu trennen, ist der Einsatz von Virtual Local Area Networks (VLAN, nach IEEE 802.1q).
VLANs arbeiten auf der OSI-Ebene 2 und führen VLAN IDs (of auch "Tag" genannt) zur Unterscheidung der einzelnen VLANs ein. Im konkreten Fall wird zusätzlich zum vorhandenen untagged VLAN (default VLAN), das im allgemeinen für den Datenverkehr reserviert ist und weiteren tagged VLANs für bestimmte Dienste und Verkehre ein spezielles VLAN für den VoIP-Verkehr eingeführt.
IEEE 802.1q-fähige Switches können so konfiguriert werden, dass sie ein einzelnes, eine Untermenge der verfügbaren (manchmal auch trunk genannt) oder alle auf dem Switch verfügbaren VLANs auf beliebige seiner Ports schalten kann. Nur die entsprechend konfigurierten VLANs sind dann auf dem jeweiligen Port zugreifbar, alle anderen werden durch den Switch gefiltert.
Die Implementierung von IEEE 802.1x auf einem Switch erlaubt es, dynamisch zu entscheiden, ob und welche VLANs auf einen Port geschaltet werden sollen. In diesem Fall authentifiziert sich ein angeschlossenes Gerät (supplicant) gegenüber dem Switch (authenticator) mittels verschiedener konfigurierbarer Methoden. Der Switch seinerseits befragt einen, meist zentral installierten, AAA-Server und schaltet in Abhängigkeit dessen Antwort einen entsprechenden Trunk auf den Port, an dem der Supplicant angeschlossen ist.
In einem VoIP-Szenario wird IEEE 802.1x i. A. eingesetzt, um sicherzustellen, dass nur autorisierte Telefone einen Trunk mit dem Sprach-VLAN auf den Port, an dem sie angeschlossen sind, erhalten.
Da in den meisten VoIP-Szenarien mit klassischem Telefonanlagen-Charakter werden vorhandene Datennetze genutzt, die keine exklusiven Netzwerkanschlüsse für Telefone bereitstellen. In diesen Installationen verwenden die Telefone die für Arbeitsplatz-Rechnersysteme vorgesehenen Netzwerkdosen und Switchports mit. Dies geschieht über einen in die Telefone eingebauten Mini-Switch, der es erlaubt, den Switch, das Telefon und das Rechnersystem in Reihe zu schalten. Dieses Verfahren wird Daisy-Chaining genannt. Dabei ist das Telefon zwischen dem Switch und dem Rechnersystem platziert.
Das Telefon authentifiziert sich nun beim Switch und erhält neben dem Daten-VLAN und eventuell weiterer VLANs, die das ebenfalls angeschlossene Rechnersystem benötigt, auch das Voice-VLAN auf den ihm zugewiesenen Port geschaltet. Der Mini-Switch im Telefon wiederum leitet den Verkehr des Sprach-VLANs zur Hardware des Apparates, während der Datenverkehr ohne den Sprachverkehr an das am Telefon angeschlossene Rechnersystem weitergeleitet wird. So wird der unautorisierte Zugiff des Rechnersystems auf das Voice-VLAN effektiv verhindert.
Die Mechanismen des IEEE 802.1x-Standards wiederum verhindern, dass ein direkt an den Switch angeschossenes Rechnertystem Zugriff erhält, denn dieses kann keine erfolgreiche Authentifizierung durchführen.
So kann das Sprach-VLAN vor dem Zugriff unautorisierter Rechnersysteme (die z.B. infiziert oder anderweitig kompromittiert sein könnten) geschützt werden, da der Mini-Switch den Sprachverkehr aus dem durch den Netzwerkswitch bereitgestellten Trunk filtert und nur den übrigen Datenverkehr an das Rechnersystem weitergibt.
Beschreibung
In der voreingestellten Konfiguration filtert der in das IP Touch Telefon eingebaute Mini-Swich den VLAN-Verkehr nicht korrekt. Verkehr, der im Multicast- oder Broadcast-Modus den Switch erreicht, wird an den Ausgang für daisy chained Geräte weitergeschickt, auch wenn dessen Pakete de VLAN ID für das als Voice-Netz definierte VLAN trägt.
Dies setzt den IEEE 802.1x-Mechanismus zur Zugriffskontrolle auf VLANs effektiv außer Kraft und gewährt an Telefonen angeschlossenen Geräten unauthentifiziert partiellen Zugriff auf das Voice-Netz.
Sofern keine kryptographischen Mechanismen implementiert sind, können alle Daten, die im Voice-VLAN im Broadcast- oder Multicast-Modus übertragen werden durch daisy chained Geräte gesehen werden, da sie im Klartext erfolgen (z.B. DHCP oder ARP).
Daten auf dem Voice-VLAN, die im Unicast-Modus an das Telefon verschickt werden oder von diesem kommen, können von daisy chained Geräten nicht gesehen werden, da diese von einem betroffenen Mini-Switch nicht weitergeleitet werden. Daher kann ein solches Gerät bei der Aushandlung die Netzwerkadresse für das Telefon nicht direkt sehen. Der im Voice-VLAN platzierte DHCP-Server, der sich neu anmeldenden Telefonen Adressen zuweist, sendet die entsprechende DHCPOFFER-Nachricht im Unicast-Modus.
Nichtsdestotrotz ist ein ein daisy chained Gerät in der Lage, die Hardware-Adresse (MAC-Adresse) des Telefons durch Analyse des Broadcast-Verkehrs im Sprach-VLAN zu ermitteln, der durch einen verwundbaren Mini-Switch durch die Schwachstelle an das daisy chained Gerät gesandt wird. Dieser Verkehr enthält mindestens die Hardware-Adresse des Telefons, in den Fällen nach der Zuordnung einer IP-Adresse auch diese.
Darüberhinaus kann ein menschlicher Angreifer mit physikalischem Zugriff auf ein Telefon Hardware- und IP-Adresse über das Options-Menü der graphischen Benutzungsschnittstelle des Telefons trivial ermitteln. Die Benutzungsschnittstelle kann und sollte durch ein Passwort geschützt werden, so dass ein unautorisierter Benutzer diese Daten nicht trivial abrufen kann.
Die Schwachstelle kann in den folgenden Szenarien praktisch ausgenutzt werden:
- Ein Angreifer mit physikalischem Zugriff auf den Mini-Switch in einem Telefon kann Zugriff auf das Voice-VLAN und allen dem Telefon verfügbaren Ressourcen erhalten und dies für verschiedene Angriffe auf die Telefonanlage ausnutzen. Diese können Versuche, Teile der Anlage in einen unbenutzbaren Zustand zu versetzen oder deren Rechnersysteme zu kompromittieren, beinhalten.
- Ein Angreifer, der in der Lage ist, ein daisy chained Gerät (i.A. ein Rechersystem) unter Ausnutzung anderer Schwachstellen über eine Netzwerkverbindung zu kompromittieren, ist subsequent in der Lage Zugriff auf das Voice-VLAN in der oben beschriebenen Weise zu erhalten und Angriffe darauf auszuführen. Diese können Versuche, Teile der Anlage in einen unbenutzbaren Zustand zu versetzen oder deren Rechnersysteme zu kompromittieren, beinhalten.
- Da die für einen erfolgreichen Angrif zu verwendenden Protokolle und Technologien allgemein bekannt und die Verfahren automatisierbar sind, entsteht eine deutlich höhere Bedrohung durch die Möglichkeit, solche Angriffsverfahren in Malware einzubauen, und sie z.B. mittels Wurm- oder Bot-Technologie zu verbreiten. Ein entsprechend infiziertes System in einer Daisy-Chain-Konfiguration kann so zu einer ernsten Bedrohung für eine betroffene Telefonanlage werden.
Gegenmaßnahmen
Konfiguration des PC port status der IP Touch Telefone in den Status
- "disabled port", sofern kein Rechnersystem oder netzwerkfähiges Gerät an den PC Port des Mini-Switches angeschlossen (daisy chained) ist
- "filtered port", sofern ein Rechnersystem oder netzwerkfähiges Gerät an den PC Port des Mini-Switches angeschlossen (daisy chained) ist
Vulnerability ID
Revisionen dieer Meldung
- V 1.0: als Kurzzusammenfassung der englischen Version dieser Meldung veröffentlicht (2007-06-07)
- V 1.1: zur Vollmedung erweitert (2007-06-12)
Weitere Information zu diesem Thema
- Alcatel-Lucent Security Advisory SA027
- Englische Version dieser Meldung: RUS-CERT Advisory 2007-06:01 (1380)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1380