Ciscos IP-Telefonie-Applikation mit Authentifizierungsschwächen

Ciscos Personal Assistant (PA), eine Applikation zum Konfigurieren und Verwalten von IP-Telefonen, ermöglicht unautorisierten Web-Zugriff auf gültige Accounts ohne Passwort. Mit der Weboberfläche können Benutzer ihre Mailboxen, Umleitungen, Kontaktdaten und vieles mehr abfragen. Ein Angreifer könnte die Rufumleitung missbrauchen und beispielsweise auf eine 0190-Nummer umstellen. Laut Cisco tritt der Fehler nur auf, wenn zwei Bedingungen erfüllt sind. Die Option Allow Only Cisco CallManager Users muss aktiviert sein und der PA und der Cisco Call Manager benutzen denselben Verzeichnisdienst. Standardmäßig ist die Option allerdings deaktiviert.

Betroffen sind nur die Versionen 1.4(1) und 1.4(2). Ein neue Version stellt Cisco nicht zur Verfügung. Der Hersteller empfiehlt die Option Allow Only Cisco CallManager Users im Personal Assistant zu deaktivieren, da sie keine Funktion hätte, wenn der PA und der Call Manager den gleichen Verzeichnisdienst verwenden. Der Personal Assistant ist Teil von Ciscos Architecture for Voice, Video and Integrated Data (AVVID) für Unternehmensnetze. Statt herkömmlicher Telefone setzt man IP-Telefone ein, die beispielsweise über Ethernet und TCP/IP kommunizieren.

Siehe dazu auch: