Wie heute mehrere Medien (z.B. ct) berichteten, hat das IT-Security-Unternehmen „VTRUST“ Sicherheitslücken im Autoprovisionierungsverfahren des VoIP-Telefonherstellers „Yealink“ aufgedeckt. Diese Lücken betreffen den Untersuchungen nach alle Geräte dieses Herstellers. „Yealinks“-Dienste kommen weltweit insbesondere bei Cloud-Telefonie-Anbietern zum Einsatz.
TDT ist mit seinen VoIP-Telefonanlagen nicht von dieser Meldung betroffen.
In Zusammenspiel mit der VA1000 wird der Yealink-Autoprovisionierungsdienst (sofern aktiv und genutzt) nur dazu verwendet, dem Telefon die VA1000 als Ansprechpartner zum Abruf der Konfiguration mitzuteilen.
Hierzu werden nur die MAC-Adresse sowie die IP-Adresse der VA1000 übermittelt.
Die weiteren, sensiblen Informationen werden dann netzintern direkt zwischen VA1000 und Yealink-Telefon ausgetauscht.
Somit besteht nach unserem derzeitigen Kenntnisstand keine erhöhte Gefährdungslage, insbesondere wenn auch andere Schutzmaßnahmen ergriffen wurden.
Unter anderem sind dies:
- Das Separieren des Telefonnetzes vom lokalen LAN-Netz
- Vorschalten eines Gateway-Routers mit aktiver Firewall
- Nutzung der aktuellsten Version der VA1000 Telefonanlage
Es empfiehlt sich dennoch grundsätzlich, auch Telefonie-Endgeräte mit aktuellsten Updates zu versorgen, sofern verfügbar.