Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.

Dismiss

[Alcatel-Lucent/OmniPCX Enterprise] Schwachstelle in OmniPCX Enterprise Release 7.0

11 views

Skip to first unread message

RUS-CERT (Oliver Goebel)

unread,

Jun 14, 2007, 3:40:01 PM6/14/07

to Tic...@lists.cert.uni-stuttgart.de

[Alcatel-Lucent/OmniPCX Enterprise] Schwachstelle in OmniPCX
Enterprise Release 7.0
(2007-06-07 13:33:44.891004+02)
Quelle: http://cert.uni-stuttgart.de/advisories/al-ip-touch-vlan-filte
ring.php

Die voreingestellte Konfiguration von Alcatel-Lucent IP Touch
Telefonen unter dem Voice-over-IP-System Alcatel-Lucent OmniPCX
Enterprise 7.0 kann in Installationen, die IEEE 802.1q (VLAN) zur
Trennung von Voice- und Datennetz und IEEE 802.1x zur Zugangskontrolle
zum Voice-VLAN verwenden, von einem Angreifer dazu ausgenutzt werden,
unauthentifiziert Zugang zum Voice-VLAN über ein 'daisy-chained'
Computersystem zu erlangen.

Extrakt

ID: RUS-CERT Advisory 2007-06:01 (1380) DE
Betroffene Systeme: Alcatel-Lucent OmniPCX Enterprise Release 7.0 und
spätere Versionen
Auswirkung: Unauthentifizierter Zugriff auf das Voice-VLAN
Angiffsvektorklasse: mittelbar über eine Netzwerkverbindung (mediately
remote (siehe '[1]Angriffsvoraussetzung' für Details)
Typ der Verwundbarkeit: Unsichere Voreinstellung (insecure defaults)
Gefahrenpotential: hoch
Bedrohung: mittel
CVSS: 6.2
CVE-Name: CVE-2007-2512

Betroffene Systeme
* Alcatel Lucent OmniPCX 7.0 und spätere Versionen, in
Daisy-Chain-Konfigurationen und bei Einsatz von IEEE 802.1x

Nicht betroffene Systeme
* Alcatel Lucent OmniPCX vor Version 7.0, da keine IEEE
802.1x-Unterstützung vorhanden und so der Zugriff auf das
Voice-VLAN trivial ist.

Angriffsvoraussetzung
* Physikalischer Zugriff auf den in das Alcatel-Lucent IP Touch
Telefon eingebauten Mini-Switch;
In einer typischen Konfiguration werden Computersysteme an diesen
Switch angeschlossen ("[2]daisy chained"). Sofern ein solches
Computersystem kompromittiert ist, kann die Schwachstelle über
eine Netzwerkverbindung ausgenutzt werden.
(remote)
* Unsichere Konfiguration des PC port state des Mini-Switches eines
betroffenen IP Touch Telefones. Dies ist die Voreinstellung.

Um die Schwachstelle erfolgreich auszunutzen, sind die folgenden
weiteren Bedingungen Voraussetzung:
* Trennung des Voice-Netzes vom Datennetz mittels IEEE
802.1q-Technologie (VLAN)
* Zugriffsteuerung auf das Voice-VLAN mittels IEEE 802.1x

Diese Technologien sind empfohlen und üblicherweise eingesetzt.
Insbesondere ohne den Einsatz von IEEE 802.1x ist der Zugriff auf das
Voice-VLAN von jedem angeschlossenen Gerät aus trivial möglich.

Einfallstor
In IP Touch Telefone eingebauter Mini-Switch

Auswirkung
Unauthentifizierter Zugriff von daisy chained Geräten auf das
Voice-VLAN

Typ der Verwundbarkeit
unsichere voreingestellte Konfiguration
(insecure defaults)

Gefahrenpotential
hoch
(Hinweise zur [3]Einstufung des Gefahrenpotentials.)

CVSS Rating
Das Common Vulnerability Scoring System ([4]CVSS) ist ein Ansatz, um
ein standardisiertes Bewertungsschema für Softwareverwundbarkeiten
bereitzustellen und zu etablieren.

CVSS Base Score 7
CVSS Temporal Score 5.8
CVSS Environmental Score 6.2
Overall CVSS Score 6.2
Base Score Metrics
Related exploit range (AccessVector) Remote ^1)
Attack complexity (AccessComplexity) Low
Level of authentication needed (Authentication) Not Required
Confidentiality impact (ConfImpact) Partial
Integrity impact (IntegImpact) Partial
Availability impact (AvailImpact) Partial
Impact value weighting (ImpactBias) Weight Availability

1) In einem typischen Szenario, in dem ein kompromittiertes
Rechnersystem an ein betroffenes Telefon daisy chained ist, kann diese
Schwachstelle über eine Netzwerkverbindung (Einstufung: remote)
ausgenutzt werden. Hier würde ein Wert zwischen local und remote, etwa
mediately remote besser zur Charakterisierung der Schwachstelle
passen. Dieser Wert wird von CVSS jedoch nicht bereitgestellt, weshalb
in der durch das RUS-CERT vorgenommenen worst-case-Betrachtung der
Wert remote angenommen wird.

Kontext
[5]IP-Telefonie-Technologie (Voice-over-IP oder kurz VoIP) nutzt
IP-basierte Datennetzwerke um sowohl Signalisierungsinformation als
auch Sprachdaten zwischen Teilnehmern und Vermittlungseinheiten zu
transportieren.

Neben den im Internet verfügbaren Diensten zum weltweiten Telefonieren
vom PC aus, bieten verschiedene Hersteller VoIP-Produkte an, die
vornehmlich zum Ersatz klassischer Telefonanlagen innerhalb von
Unternehmen oder Einrichtungen gedacht sind. Sie sollen die dort meist
gut ausgebaute IT-Infrastruktur mitverwenden, weitere Dienste
integrieren und so einen wirtschaftlichen und technologischen Vorteil
bei Neuanschaffung oder Austausch einer vorhandenen Telefonanlage
bieten.

Nachdem für eine solche Telefonanlage andere rechtliche Normen gelten
als für die vorhandene IT-Infrastruktur und insbesondere die
Sicherheit eine große Rolle spielt, werden bei solchen Installationen
zur Trennung des Sprach- vom Datennetz verschiedene Technologien
eingesetzt.

Eine sehr verbreitete und aus Leistungsgründen auch in anderer
Hinsicht nützliche Methode (vgl. [6]Quality of Service), das Daten-
und Sprachnetz 'virtuell' zu trennen, ist der Einsatz von Virtual
Local Area Networks ([7]VLAN, nach [8]IEEE 802.1q).

VLANs arbeiten auf der [9]OSI-Ebene 2 und führen VLAN IDs (of auch
"Tag" genannt) zur Unterscheidung der einzelnen VLANs ein. Im
konkreten Fall wird zusätzlich zum vorhandenen untagged VLAN (default
VLAN), das im allgemeinen für den Datenverkehr reserviert ist und
weiteren tagged VLANs für bestimmte Dienste und Verkehre ein
spezielles VLAN für den VoIP-Verkehr eingeführt.

IEEE 802.1q-fähige Switches können so konfiguriert werden, dass sie
ein einzelnes, eine Untermenge der verfügbaren (manchmal auch trunk
genannt) oder alle auf dem Switch verfügbaren VLANs auf beliebige
seiner Ports schalten kann. Nur die entsprechend konfigurierten VLANs
sind dann auf dem jeweiligen Port zugreifbar, alle anderen werden
durch den Switch gefiltert.

Die Implementierung von [10]IEEE 802.1x auf einem Switch erlaubt es,
dynamisch zu entscheiden, ob und welche VLANs auf einen Port
geschaltet werden sollen. In diesem Fall authentifiziert sich ein
angeschlossenes Gerät (supplicant) gegenüber dem Switch
(authenticator) mittels verschiedener konfigurierbarer Methoden. Der
Switch seinerseits befragt einen, meist zentral installierten,
[11]AAA-Server und schaltet in Abhängigkeit dessen Antwort einen
entsprechenden Trunk auf den Port, an dem der Supplicant angeschlossen
ist.

In einem VoIP-Szenario wird IEEE 802.1x i. A. eingesetzt, um
sicherzustellen, dass nur autorisierte Telefone einen Trunk mit dem
Sprach-VLAN auf den Port, an dem sie angeschlossen sind, erhalten.

Da in den meisten VoIP-Szenarien mit klassischem
Telefonanlagen-Charakter werden vorhandene Datennetze genutzt, die
keine exklusiven Netzwerkanschlüsse für Telefone bereitstellen. In
diesen Installationen verwenden die Telefone die für
Arbeitsplatz-Rechnersysteme vorgesehenen Netzwerkdosen und Switchports
mit. Dies geschieht über einen in die Telefone eingebauten
Mini-Switch, der es erlaubt, den Switch, das Telefon und das
Rechnersystem in Reihe zu schalten. Dieses Verfahren wird
[12]Daisy-Chaining genannt. Dabei ist das Telefon zwischen dem Switch
und dem Rechnersystem platziert.

Das Telefon authentifiziert sich nun beim Switch und erhält neben dem
Daten-VLAN und eventuell weiterer VLANs, die das ebenfalls
angeschlossene Rechnersystem benötigt, auch das Voice-VLAN auf den ihm
zugewiesenen Port geschaltet. Der Mini-Switch im Telefon wiederum
leitet den Verkehr des Sprach-VLANs zur Hardware des Apparates,
während der Datenverkehr ohne den Sprachverkehr an das am Telefon
angeschlossene Rechnersystem weitergeleitet wird. So wird der
unautorisierte Zugiff des Rechnersystems auf das Voice-VLAN effektiv
verhindert.

Die Mechanismen des IEEE 802.1x-Standards wiederum verhindern, dass
ein direkt an den Switch angeschossenes Rechnertystem Zugriff erhält,
denn dieses kann keine erfolgreiche Authentifizierung durchführen.

So kann das Sprach-VLAN vor dem Zugriff unautorisierter Rechnersysteme
(die z.B. infiziert oder anderweitig kompromittiert sein könnten)
geschützt werden, da der Mini-Switch den Sprachverkehr aus dem durch
den Netzwerkswitch bereitgestellten Trunk filtert und nur den übrigen
Datenverkehr an das Rechnersystem weitergibt.

Beschreibung
In der voreingestellten Konfiguration filtert der in das IP Touch
Telefon eingebaute Mini-Swich den VLAN-Verkehr nicht korrekt. Verkehr,
der im [13]Multicast- oder [14]Broadcast-Modus den Switch erreicht,
wird an den Ausgang für daisy chained Geräte weitergeschickt, auch
wenn dessen Pakete de VLAN ID für das als Voice-Netz definierte VLAN
trägt.

Dies setzt den [15]IEEE 802.1x-Mechanismus zur Zugriffskontrolle auf
VLANs effektiv außer Kraft und gewährt an Telefonen angeschlossenen
Geräten unauthentifiziert partiellen Zugriff auf das Voice-Netz.

Sofern keine kryptographischen Mechanismen implementiert sind, können
alle Daten, die im Voice-VLAN im Broadcast- oder Multicast-Modus
übertragen werden durch daisy chained Geräte gesehen werden, da sie im
Klartext erfolgen (z.B. [16]DHCP oder [17]ARP).

Daten auf dem Voice-VLAN, die im [18]Unicast-Modus an das Telefon
verschickt werden oder von diesem kommen, können von daisy chained
Geräten nicht gesehen werden, da diese von einem betroffenen
Mini-Switch nicht weitergeleitet werden. Daher kann ein solches Gerät
bei der Aushandlung die Netzwerkadresse für das Telefon nicht direkt
sehen. Der im Voice-VLAN platzierte DHCP-Server, der sich neu
anmeldenden Telefonen Adressen zuweist, sendet die entsprechende
DHCPOFFER-Nachricht im Unicast-Modus.

Nichtsdestotrotz ist ein ein daisy chained Gerät in der Lage, die
Hardware-Adresse ([19]MAC-Adresse) des Telefons durch Analyse des
Broadcast-Verkehrs im Sprach-VLAN zu ermitteln, der durch einen
verwundbaren Mini-Switch durch die Schwachstelle an das daisy chained
Gerät gesandt wird. Dieser Verkehr enthält mindestens die
Hardware-Adresse des Telefons, in den Fällen nach der Zuordnung einer
IP-Adresse auch diese.

Darüberhinaus kann ein menschlicher Angreifer mit physikalischem
Zugriff auf ein Telefon Hardware- und IP-Adresse über das Options-Menü
der graphischen Benutzungsschnittstelle des Telefons trivial
ermitteln. Die Benutzungsschnittstelle kann und sollte durch ein
Passwort geschützt werden, so dass ein unautorisierter Benutzer diese
Daten nicht trivial abrufen kann.

Die Schwachstelle kann in den folgenden Szenarien praktisch ausgenutzt
werden:
1. Ein Angreifer mit physikalischem Zugriff auf den Mini-Switch in
einem Telefon kann Zugriff auf das Voice-VLAN und allen dem
Telefon verfügbaren Ressourcen erhalten und dies für verschiedene
Angriffe auf die Telefonanlage ausnutzen. Diese können Versuche,
Teile der Anlage in einen unbenutzbaren Zustand zu versetzen oder
deren Rechnersysteme zu kompromittieren, beinhalten.
2. Ein Angreifer, der in der Lage ist, ein daisy chained Gerät (i.A.
ein Rechersystem) unter Ausnutzung anderer Schwachstellen über
eine Netzwerkverbindung zu kompromittieren, ist subsequent in der
Lage Zugriff auf das Voice-VLAN in der oben beschriebenen Weise zu
erhalten und Angriffe darauf auszuführen. Diese können Versuche,
Teile der Anlage in einen unbenutzbaren Zustand zu versetzen oder
deren Rechnersysteme zu kompromittieren, beinhalten.
3. Da die für einen erfolgreichen Angrif zu verwendenden Protokolle
und Technologien allgemein bekannt und die Verfahren
automatisierbar sind, entsteht eine deutlich höhere Bedrohung
durch die Möglichkeit, solche Angriffsverfahren in [20]Malware
einzubauen, und sie z.B. mittels [21]Wurm- oder
[22]Bot-Technologie zu verbreiten. Ein entsprechend infiziertes
System in einer Daisy-Chain-Konfiguration kann so zu einer ernsten
Bedrohung für eine betroffene Telefonanlage werden.

Gegenmaßnahmen
Konfiguration des PC port status der IP Touch Telefone in den Status
* "disabled port", sofern kein Rechnersystem oder netzwerkfähiges
Gerät an den PC Port des Mini-Switches angeschlossen (daisy
chained) ist
* "filtered port", sofern ein Rechnersystem oder netzwerkfähiges
Gerät an den PC Port des Mini-Switches angeschlossen (daisy
chained) ist

Vulnerability ID
* [23]CVE-2007-2512

Revisionen dieer Meldung
* V 1.0: als Kurzzusammenfassung der [24]englischen Version dieser
Meldung veröffentlicht (2007-06-07)
*
* V 1.1: zur Vollmedung erweitert (2007-06-12)

Weitere Information zu diesem Thema
* [25]Alcatel-Lucent Security Advisory SA027
* Englische Version dieser Meldung: [26]RUS-CERT Advisory 2007-06:01
(1380)

Aktuelle Version dieses Artikels
[27]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1380

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

References

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Aut...@Lists.CERT.Uni-Stuttgart.DE

0 new messages