innovaphone Forum

You are here

Help with Search (new window)
Picture of JuergenW
Registered 8 years 154 days
JuergenW Tuesday, 4 October 2022, 09:05 PM
Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Hallo zusammen,

mit großen Entsetzen habe ich gesehen, dass es ein super kritisches Sicherheitsloch in Innovaphone PBXen gibt (CVSS3-Rating 9,8 von max. 10, siehe CVE-2022-41870 - OpenCVE). Das ist ein sicherheitstechnischer SuperGAU!

Der Fehler sei laut CVE-Meldung in der 13r2 sr 17 gefixt. Nur gibt es diese bis dato Version nicht im Appstore und auch nicht über die Updatefunktion der Geräte zum Download. Und dass, obwohl die Meldung seit 4 Tagen online ist!

Das geht gar nicht. Eigentlich muss jeder Nutzer die PBX mit AP Funktion sofort offline nehmen, bis der Patch verfügbar und eingespielt ist.

Bin gespannt, wann Innovaphone endlich den Patch veröffentlicht. Generell ist es super peinlich und haftungstechnisch kritisch, wenn Innovaphone so eine Lücke einfach ignoriert und den Patch nicht spätestens mit der CVE-Veröffentlichung online stellt!

JuergenW
Picture of Peter 627
Registered 13 years 120 days
Peter 627 Wednesday, 5 October 2022, 08:00 AM
4 of 4 users consider this post helpful
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Naja so super kritisch liest es sich jetzt nicht. In der Erklärung dazu steht ja auch "Just possible with access to the AP Manager!". Ob man dass jetzt mit 9.8 von 10 einstufen muss weiß ich nicht. Aber ich gebe dir Recht, wenn etwas mit der kritischen Einstufung im CVE Rating Online geht dann sollte schleunigst der Patch zur Verfügung stehen.

Insofern man von extern überhaupt Zugriff auf den AP Manager erlaubt hat (ist bei uns z.B. am Reverseproxy gesperrt), sodass Zugriff nur aus dem LAN möglich wäre und selbst dann brauchst du erstmal noch Zugriffsdaten um eine App hochladen zu können und dabei die ID zu manipulieren.

Ich weiß jetzt nicht ob ich Systeme deswegen Offline nehmen würde..

Gruß

Peter





Picture of ThomasAH
Registered 3 years 178 days
ThomasAH Wednesday, 5 October 2022, 08:09 AM in response to JuergenW
3 of 3 users consider this post helpful
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Hallo!

Jemand mit Zugriff auf den AP Manager (und das ist notwendig, um die Schwachstelle ausnutzen zu koennen) sollte doch ein vertrauenswuerdiger Admin sein, ansonsten hat man ohnehin ein Problem.

Von daher ist es m.E. im Interesse der Kunden, wenn das Update besser getestet ist, als dass hier ein noch groesseres Problem durch ein zu schnell rausgehauenes Update erzeugt wird.

Und nicht vergessen: Wochenende+Feiertag, gestern war also vermutlich der erste normale Arbeitstag seit Veroeffentlichung des CVEs.

Viele Grüße
Thomas
Picture of Daniel Deterding (innovaphone)
Moderator Registered 14 years 346 days
Daniel Deterding (innovaphone) Wednesday, 5 October 2022, 08:17 AM
1 of 1 users consider this post helpful
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Hallo zusammen,

es ist so, wie hier schon geantwortet wurde: nur mit Wissen des AP-Manager-Passwortes kann man den Bug überhaupt ausnutzen.

Leider weiß ich nicht, wer diesen CVE-Eintrag angelegt hat, aber der wurde defintiv falsch angelegt, da bei "Privileges Required" "None" steht, was falsch ist. Vermutlich kommt dadurch dieser hohe Score zustande ...

Gruß,
Daniel
Picture of JuergenW
Registered 8 years 154 days
JuergenW Wednesday, 5 October 2022, 09:45 AM
1 of 1 users consider this post helpful
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Daniel, normalerweise macht Ihr das als Hersteller. Aber ist ja gut, wenn es nicht ganz so kritisch ist. Dennoch solltet Ihr den CVE korrigieren lassen und außerdem dringend die sr17 bereit stellen. Bis wann kommt sie?
Picture of Daniel Deterding (innovaphone)
Moderator Registered 14 years 346 days
Daniel Deterding (innovaphone) Wednesday, 5 October 2022, 11:21 AM
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Ein Update des CVE-Eintrages ist beantragt und SR17 ist bereits in unserem internen Test.

Gruß,
Daniel
Picture of JuergenW
Registered 8 years 154 days
JuergenW Wednesday, 5 October 2022, 11:36 AM
0 of 1 users consider this post helpful
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Wie lange wird der Test dauern?
Gibt es eigentlich einen Benachrichtungsservice für Security Issues seitens Innovaphone? Also eine Security-Mailingliste o.ä., damit man proaktiv informiert wird, wenn es Sicherheitslücken in den Produkten gibt? Die meisten Hersteller bieten diese Art der aktiven Benachrichtigung an...
Picture of Sebastian Gabris (innovaphone)
Moderator Registered 14 years 357 days
Sebastian Gabris (innovaphone) Wednesday, 5 October 2022, 02:44 PM
1 of 1 users consider this post helpful
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Zu dem Benachrichtigungssmöglichkeiten, diese sind hier erklärt:
http://wiki.innovaphone.com/index.php?title=RSS_Feeds

Speziell hierzu wäre der RSS-Feed zu Artikel der Kategorie "Problem Alerts" nützlich.
http://wiki.innovaphone.com/index.php?title=RSS_Feeds#Problem_Alerts

Zusätzlich werden diese Artikel auch normalerweise per Twitter bekanntgegeben:
http://wiki.innovaphone.com/index.php?title=RSS_Feeds#Twitter
Picture of JuergenW
Registered 8 years 154 days
JuergenW Thursday, 6 October 2022, 06:21 PM
0 of 1 users consider this post helpful
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Bis wann wird denn die s17 releast werden? Nun sind schon wieder 3 Tage vergangen....
Picture of Daniel Deterding (innovaphone)
Moderator Registered 14 years 346 days
Daniel Deterding (innovaphone) Friday, 7 October 2022, 07:27 AM
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Wenn der interne Test komplett abgeschlossen und das Build die Freigabe erteilt bekommen hat. Dadurch lässt sich kein konkretes Datum nennen.

Die Chancen stehen aber gut, dass das Release Anfang kommender Woche veröffentlicht wird. Bis dahin greift hoffentlich der Passwortschutz des AP-Managers weiterhin.

Alternativ kann der AP-Manager solange auch über einen Reverse Proxy gesichert werden, so dass sein Webinterface nicht von extern erreichbar ist:
http://wiki.innovaphone.com/index.php?title=Support:Application_Platform:_CVE-2022-41870

Gruß,
Daniel

Picture of Olaf 1639
Registered 10 years 248 days
Olaf 1639 Friday, 7 October 2022, 08:40 AM
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Hallo Daniel

Ihr solltet glaub ich nochmal klar und deutlich kommunizieren das der CVE Eintrag falsch ist, da es in Wirklichkeit keiner 9,8 entspricht (da könnte ich die Aufregung aber auch verstehen).

Gruß Olaf
Picture of Daniel Deterding (innovaphone)
Moderator Registered 14 years 346 days
Daniel Deterding (innovaphone) Friday, 7 October 2022, 09:26 AM
1 of 1 users consider this post helpful
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Hallo Olaf,

ich habe jetzt den Service-Release-Eintrag und den Wiki-Artikel zu dem CVE um diesen Hinweis erweitert. Guter Hinweis, danke!

Leider hat sich MITRE (der CVE-Reporter) noch nicht zu dem falschen Eintrag geäußert. Da sind unsere Eingriffsmöglichkeiten leider sehr begrenzt ...

Gruß,
Daniel
Picture of Peter 627
Registered 13 years 120 days
Peter 627 Wednesday, 5 October 2022, 10:16 AM in response to Daniel Deterding (innovaphone)
2 of 2 users consider this post helpful
Re: Super kritische Sicherheitslücke in Innovaphone AP - KEIN UPDATE VERFÜGBAR!
Anscheinend kann solche CVEs jeder machen der sich an den Portalen anmeldet. Was muss ich denn für einen erstellen damit 13R3 morgen rauskommt ? breit grinsend
← You can define your color theme preference here