Umfassende und modernste Sicherheit ist ein Muss für jede Geschäftskommunikationslösung und von größter Bedeutung für Mitel. Bei Mitel arbeiten wir kontinuierlich daran, die Sicherheit unserer Lösungen zu bewerten und zu verbessern. Als Teil dieser Bestrebungen unterstützen wir umfänglich Sicherheitsexperten bei der Schwachstellenanalysen unsere Lösungen.
Eventphone, ein bedeutender Anbieter von drahtloser Kommunikation für Großveranstaltungen, betreibt für die Tech-Events des Chaos Computer Clubs ein neues PoC (Phone Operation Center). Eventphone suchte nach einer zuverlässigen, funktionsreichen und hochgradig skalierbaren Kommunikationsinfrastruktur, um Premium-Kommunikationsdienste für die wichtigsten Veranstaltungen des Chaos Computer Clubs aufzubauen. Eventphone bewertete Mitel SIP-DECT als die bestmögliche Lösung für den gewünschten Anwendungsfall.
Um derartig große Installationen effektiv und sicher zu verwalten, hat Eventphone die Mitel SIP-DECT-Lösung genauer unter die Lupe genommen, besonders ihre Architektur und Sicherheit. Dies mit dem Ziel erweiterte Dienste anbieten zu können, wie die sichere Selbstregistrierung von Telefonen, die einfache Erweiterbarkeit und Selbstverwaltung und andere Dienste für verschiedene DECT Handset Modelle von verschiedenen Herstellern.
Während der eingehenden Sicherheitsanalysen stellte Eventphone ein unkritisches Fehlverhalten im Zusammenhang mit der Selbstregistrierung von Basisstationen am Open Mobility Manager (OMM) von SIP-DECT fest und machte Mitel auf diese Sicherheitsanfälligkeit aufmerksam. Gerne haben wir bei Mitel diese Informationen entgegengenommen und das erkannte Verhalten als Aufforderung angesehen, unsere SIP-DECT Lösung umgehend zu verbessern, gemäß unserem Verständnis bestmögliche Sicherheit mit unseren Kommunikationsprodukten zu bieten.
Über mehrere Wochen haben wir mit Eventphone- und CCC-Experten zusammengearbeitet, um das Problem genauer zu bewerten. Gemeinsam wurde untersucht, welche Arten von potenziellen Angriffen auf der erkannten Sicherheitslücke beruhen und wie SIP-DECT gegen diese Angriffe zu schützen ist.
Als Ergebnis dieser technischen Zusammenarbeit hat Mitel ein Sicherheitsupdate veröffentlicht, um das Problem zu beseitigen. Das Update ist über das Mitel Software Download Center verfügbar unter:
https://swdlgw.mitel.com/swdlgw/index.xhtml
Weitere Informationen und Empfehlungen zu diesem Sicherheitsupdate finden Sie im entsprechenden Sicherheitshinweis unter:
https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-19-0009 or on http://www.mitel.de/blog
Das tatsächliche Risiko für Mitel SIP-DECT Nutzer ist jedoch gering. Die dargestellte Sicherheitsproblematik kann nur genutzt werden, wenn ein Angreifer Zugang zum internen Unternehmensnetzwerk erlangt und eine Man-in-the-Middle-Position eingekommen hat. Die Installation von SIP-DECT-Basisstationen in einem geschützten Unternehmensnetzwerk verhindert diese Gefährdung.
Mitel empfiehlt die bewährten Methoden zum Schutz interner kabelgebundener Netzwerke wie:
- Einsatz geeigneter Firewalls und Netzwerksegmentierung
- Software zum Erkennen nicht autorisierter Geräte im internen Netzwerk
- Verwendung 802.1x, um die Aktivierung nicht autorisierter Geräte zu verhindern
Kunden, die Fragen haben, werden gebeten, sich an ihren Support-Anbieter oder an den technischen Support von Mitel zu wenden.