cirosec, der Spezialist im IT-Sicherheitsbereich, hat den Multi-Service-Business-Router (MSBR) der Firma AudioCodes untersucht. Dabei konnten mehrere Schwachstellen in den verschiedenen Management Interfaces gefunden werden.
Der MSBR bietet mehrere Funktionalitäten in einem Gerät. Er arbeitet als Router, Session Border Controller (SBC), Firewall und IDS/IPS und unterstützt VLANs, DMZs und IPsec. Das Gerät wird in Deutschland unter anderem über Telefonie-Provider an Geschäftskunden verkauft.
Auf dem MSBR läuft ein Linux-System mit der Quagga Routing-Software. Quagga implementiert verschiedene Routing-Protokolle. Diese lassen sich über sogenannte Virtuelle Terminals (VTY) konfigurieren, um beispielsweise Routing-Tabellen anzupassen. Diese VTYs werden von der Managementsoftware des MSBR intern zur Konfiguration aufgerufen. Die Sicherheitsanalyse des Business Routers zeigte, dass die VTYs auch über das „Link Local“-Netzwerkinterface aus dem lokalen Netzwerk erreichbar sind (CVE-2019-9229). Der Zugriff ist dabei lediglich mit einem hart codierten vierstelligen Passwort geschützt, das bei einer Analyse der Firmware gefunden wurde. Ohne weitere Authentifizierung kann darüber auch in den privilegierten Modus gewechselt werden.
Um den MSBR zu managen, kann unter anderem per TELNET oder SSH auf eine Kommandozeile zugegriffen werden. Ein Angreifer kann die Verfügbarkeit des Management Interfaces angreifen, indem er nicht authentifizierte Verbindungen zum jeweiligen Interface aufbaut (CVE-2019-9228). Das Gerät ist so konfiguriert, dass es maximal fünf nicht authentifizierte Verbindungen zulässt. Weitere Verbindungsversuche werden direkt unterbunden, wodurch eine Konfiguration nicht mehr möglich ist.
Eine weitere Möglichkeit ist die Verwaltung über eine Webapplikation. In dieser konnten eine Cross-Site-Scripting-Schwachstelle (CVE-2019-9230) und eine Cross-Site-Request-Forgery-Schwachstelle (CVE-2019-9231) gefunden werden. Dadurch ist ein Angreifer in der Lage, eigenen JavaScript- und HTML-Code in die Webapplikation einzubinden und den Browser des Opfers dazu zu bringen, Aktionen auf dem MSBR im Rechtekontext des Opfers durchzuführen.
Laut Hersteller betreffen die Schwachstellen die Produkte AudioCodes Mediant 500L-MSBR, 500-MBSR, M800B-MSBR und 800C-MSBR. Anwendern wird empfohlen, auf ihren Geräten die Software-Version F7.20A.254 oder höher einzuspielen. Außerdem sollte die in Handbuch und Security Guidelines nicht dokumentierte Option CSRF Protection aktiviert werden. Dies ist ausschließlich über den Upload einer ini-Datei auf der Weboberfläche des MSBR möglich. Dieses muss die Option "CSRFProtection=1" enthalten. Da AudioCodes die maximale Anzahl an nicht authentifizierten SSH- und TELNET-Verbindungen aus Performancegründen nicht erhöhen will, wird empfohlen, den Zugriff über Access Lists einzuschränken. Von der Verwendung von TELNET zur Konfiguration wird generell abgeraten und der Dienst sollte daher deaktiviert werden.
Details finden Interessierte im dazugehörigen Security Advisory unter www.cirosec.de/unternehmen/research.