Device Management

Die Schwachstelle steckt in Yealink Device Management, der zentralen Verwaltungssoftware für Yealink-Geräte. Über eine bestimmte Schnittstelle der Anwendung lässt sich eine Befehlsinjektion auslösen: Ein Angreifer kann eigene Systembefehle einschleusen, die das System mit Root-Rechten ausführt – also mit den höchsten Rechten und damit voller Kontrolle über den Server. Ausnutzen lässt sich der Defekt aus der Ferne und ohne jede Anmeldung; gültige Zugangsdaten oder eine Benutzerinteraktion sind nicht erforderlich. In Verbindung mit einer serverseitigen Anfragefälschung (Server-Side Request Forgery), bei der der Server dazu gebracht wird, vom Angreifer gesteuerte Anfragen auszuführen, mündet die Lücke in eine vollständige Codeausführung aus der Ferne. Da die Verwaltungssoftware zentral mehrere Endgeräte steuert, betrifft eine erfolgreiche Übernahme nicht nur den einzelnen Server, sondern potenziell die gesamte darüber verwaltete Geräteumgebung.