Schwere Sicherheitslücke bei Yealink entdeckt

TDT VoIP-Telefonanlagen nicht betroffen!

Wie heute mehrere Medien (z.B. ct) berichteten, hat das IT-Security-Unternehmen „VTRUST“ Sicherheitslücken im Autoprovisionierungsverfahren des VoIP-Telefonherstellers „Yealink“ aufgedeckt. Diese Lücken betreffen den Untersuchungen nach alle Geräte dieses Herstellers. „Yealinks“-Dienste kommen weltweit insbesondere bei Cloud-Telefonie-Anbietern zum Einsatz.

TDT ist mit seinen VoIP-Telefonanlagen nicht von dieser Meldung betroffen.

In Zusammenspiel mit der VA1000 wird der Yealink-Autoprovisionierungsdienst (sofern aktiv und genutzt) nur dazu verwendet, dem Telefon die VA1000 als Ansprechpartner zum Abruf der Konfiguration mitzuteilen.
Hierzu werden nur die MAC-Adresse sowie die IP-Adresse der VA1000 übermittelt.

Die weiteren, sensiblen Informationen werden dann netzintern direkt zwischen VA1000 und Yealink-Telefon ausgetauscht.

Somit besteht nach unserem derzeitigen Kenntnisstand keine erhöhte Gefährdungslage, insbesondere wenn auch andere Schutzmaßnahmen ergriffen wurden.
Unter anderem sind dies:
-    Das Separieren des Telefonnetzes vom lokalen LAN-Netz
-    Vorschalten eines Gateway-Routers mit aktiver Firewall
-    Nutzung der aktuellsten Version der VA1000 Telefonanlage

Es empfiehlt sich dennoch grundsätzlich, auch Telefonie-Endgeräte mit aktuellsten Updates zu versorgen, sofern verfügbar.