Hintertüren in Auerswald-Telefonanlagen
Diverse Telefonanlagen-Modelle von Auerswald bringen nicht-dokumentierte Standard-Passwörter mit. Neue Firmwares entfernen die Backdoors.
Das RedTeam Pentesting hat sich Auerswald-Telefonanlagen genauer angesehen und dabei zwei nicht-dokumentierte Zugänge mit Standard-Passwörtern gefunden. Angreifer, die auf die Web-basierte Verwaltungsoberfläche zugreifen können, könnten die Anlagen dadurch vollständig kompromittieren.
Wie die Sicherheitsforscher ausführen, sind die gefundenen Backdoors in zahlreichen Modellen der Auerswald COMpact-Reihe sowie einigen COMmander-Modellen enthalten (CVE-2021-40859, Risiko hoch). Ein Passwort sei für den geheimen Nutzer "Schandelah" (der Ort nahe Braunschweig, in dem das Auerswald-Hauptquartier steht), das andere lasse sich für den höchst-privilegierten Nutzer "Admin" einsetzen.
Firmware-Updates installieren
Die Sicherheitsmeldung von RedTeam Pentesting listet die betroffenen Telefonanlagen detailliert auf. Die Sicherheitsforscher beschreiben darin auch genauer, wie sie vorgegangen sind, um die Hintertüren aufzuspüren.
Der Hersteller Auerswald hat aktualisierte Fimwares veröffentlicht, die Administratoren rasch herunterladen und installieren sollten. Die Versionen 8.2B respektive 4.0T – je nach Modellreihe – sollen die Hintertüren nicht mehr enthalten.
Lesen Sie auch
Best of Backdoor-Fails
(dmk)