Zwei Pufferüberlaufschwachstellen im VoIP-Vermittlungssystem Cisco Unified Communications Manager (CUCM, ehemals als Cisco CallManager bezeichnet) können von einem Angreifer dazu ausgenutzt werden, ein betroffenes System in einen unbenutzbaren Zustand zu versetzen oder beliebigen Programmcode auf dem beherbergenden Rechnersystem mit erhöhten Privilegien auszuführen.

Betroffene Systeme

• Cisco Unified CallManager 3.3 vor Version 3.3(5)SR2b
• Cisco Unified CallManager 4.1 vor Version 4.1(3)SR5b
• Cisco Unified CallManager 4.2 vor Version 4.2(3)SR2b
• Cisco Unified Communications Manager 4.3 vor Version 4.3(1)SR1
• Cisco Unified CallManager 5.0 und Communications Manager 5.1 vor Version 5.1(2a)

• Cisco Unified CallManager 3.3(5)SR2b
• Cisco Unified CallManager 4.1(3)SR5b
• Cisco Unified CallManager 4.2(3)SR2b
• Cisco Unified Communications Manager 4.3(1)SR1
• Cisco Unified CallManager 5.1(2a)
• Cisco Unified CallManager 6.0
• Cisco Unified CallManager Express

Einfallstor

• Port 2444/tcp, bzw. der manuell für den CTL Provider Service konfigurierte Port
• Port 2556/tcp, bzw. der manuell für den RIS Data Collector konfigurierte Port

Angriffsvoraussetzung
Zugriff auf ein Netzwerk über das Pakete an das o.b. Einfallstor gesandt werden kann.

Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)

Auswirkung

• Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegen des CallManagers
  (user compromise)
  Hierbei ist zu beachten, dass der CallManager üblicherweise zwar nicht mit administrativen, jedoch mit erhöhten Privilegien (unter Microsoft Windows als Mitglied der Gruppe Power Users) läuft, was eine Kompromittierung des beherbergenden Rechnersystems erleichtern sollte.
• Nichtverfügbarkeit des betroffenen Systems
  (denial of service)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

• Eine Pufferüberlaufschwachstelle im CTL Provider Service des Cisco Unified Communications Manager kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Prozesses auf dem beherbergenden Rechnersystem auszuführen oder das System in einen unbenutzbaren Zustand zu versetzen. Dabei ist es ausreichend, wenn der Angreifer ensprechend präparierten Verkehr an den Port 2444/tcp eines betroffenen Systems senden kann.
• Eine weitere Pufferüberlaufschwachstelle im RIS Data Collector des CUCM kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Prozesses auf dem beherbergenden Rechnersystem auszuführen oder das System in einen unbenutzbaren Zustand zu versetzen. Dabei ist es ausreichend, wenn der Angreifer ensprechend präparierten Verkehr an den Port 2556/tcp eines betroffenen Systems senden kann.

Workaround

• Abschaltung des CTL Provider Service solange er nicht gebraucht wird. CTLPS wird normalerweise nur während der Konfiguration des Authentifizierungssystems sowie des Verschlüsselungssystems des CUCM benötigt.
• Einschränkung des Netzverkehrs auf Port 2444/tcp des CUCM auf das erforderliche Minimum mittels eines Firewallsystems. Normalerweise benötigt nur der CTL-Client Zugriff, der auf Rechnersystemen installiert ist, mit denen administrative Aufgaben auf dem CUCM erledigt werden.
• Einschränkung des Netzverkehrs auf Port 2556/tcp des CUCM auf das erforderliche Minimum mittels eines Firewallsystems.

Gegenmaßnahmen

• Installation einer nicht verwundbaren Version bzw.
• Installation der von Cisco bereitgestellte Patches und Updates

Vulnerability ID

• CSCsi03042 (nur für registrierte Cisco-Kunden zugreifbar)
• CSCsi10509 (nur für registrierte Cisco-Kunden zugreifbar)
• CVE-Namen sind bislang noch nicht vergeben

Weitere Information zu diesem Thema
Information zur Abschaltung des CTL Provider Service:

• Cisco Unified CallManager Serviceability Administration Guide, Release 4.2(3)
• Cisco Unified CallManager Serviceability Administration Guide, Release 5.0(1)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/