UCM6200

Die Schwachstelle steckt in der HTTP-Schnittstelle der Grandstream UCM6200-Serie, einer Reihe von IP-Telefonanlagen. Über eine speziell präparierte HTTP-Anfrage lässt sich eine SQL-Injektion auslösen – also das Einschleusen manipulierter Datenbankbefehle in die Web-Schnittstelle. Der Angriff erfolgt aus der Ferne und ohne vorherige Anmeldung: Ein unauthentifizierter Angreifer benötigt weder Zugangsdaten noch eine Benutzerinteraktion. Je nach Ausführung der Anlage lassen sich darüber Shell-Befehle mit Root-Rechten ausführen – also mit den höchsten Systemrechten und damit der vollständigen Kontrolle über das Gerät – oder es lässt sich HTML-Code in die E-Mails zur Passwort-Wiederherstellung einschleusen. Besonders kritisch ist die mögliche Codeausführung als Root, da der Angreifer damit die Telefonanlage komplett übernehmen kann. Betroffen sind Betreiber der UCM6200-Serie, deren HTTP-Schnittstelle erreichbar ist.