LifeSize: Videokonferenzsysteme erlauben Zugriff per Default-Account
Vier Videokonferenz-Produkte von LifeSize bringen neben Firmware-Schwachstellen auch einen Support-Account mit Default-Login mit. Nutzer sollten zügig handeln.
(Bild: TheDigitalArtist)
Die Firmware der Lifesize-Produkte Team, Room, Passport und Networker der Serie 220 weist mehrere Schwachstellen auf. Laut einem Sicherheitsforscher der Firma Trustwave ermöglichen sie unter bestimmten Voraussetzungen das Ausführen beliebiger Befehle auf verwundbaren Geräten durch einen entfernten Angreifer.
Zwar erfordert das Ausnutzen der Schwachstellen einen Login in das jeweilige Konferenzsystem. Allerdings werden die betroffenen Produkte mit Default-Zugangsdaten für den Support-Account ausgeliefert, die Angreifer über eine kurze Internetrecherche schnell herausfinden können. Trustwave empfiehlt Nutzern, diese Zugangsdaten umgehend zu ändern. Zudem hat Lifesize einen Hotfix für die Geräte bereitgestellt. Nutzer erhalten diesen passenderweise über den Kundensupport.
Angriff via Command Injection
Der zugrunde liegende Bug besteht in einer unzureichenden Überprüfung von Eingaben in die Benutzeroberfläche. Sie erlaubt die Übergabe von Befehlen an die PHP-Funktion shell_exec(), die dann auf dem verwundbaren Konferenzsystem ausgeführt werden. Weitere Details sind einem Security-Advisory von Trustwave zu entnehmen.
[Update 08.02.19, 15:21]: LifeSize hat ein offizielles Statement zu den Schwachstellen veröffentlicht. Darin weist das Unternehmen unter anderem darauf hin, dass Cloud-Nutzer den Hotfix automatisch beziehen. (ovw)
