Datenschutz & Sicherheit

IP-Telefonie: Cisco und Ubiquiti stellen Sicherheits-Updates bereit


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Cisco und Ubiquiti haben Sicherheitsupdates veröffentlicht, die IP-Telefonie-Schwachstellen mit High-Einstufung schließen. Über aktive Angriffe ist bislang nichts bekannt. Dennoch sollten IT-Verantwortliche lieber drangehen und die verfügbaren Aktualisierungen einspielen.

Weiterlesen nach der Anzeige

Cisco: Denial-of-Service und Cross-Site-Scripting

Die von Cisco behobene Sicherheitslücke betrifft die Produktserien Desk Phone 9800, IP Phone 7800, IP Phone 8800 und Video Phone 8875. Ausdrücklich nicht verwundbar sind IP Phone 7800 und 8800-Serien, die auf der Cisco Multiplatform Firmware aufsetzen.

Erfolgreiche Angriffe via CVE-2025-20350 und CVE-2025-20351 aus der Ferne und ohne vorherige Authentifizierung könnten die Telefone per aufgezwungenem Neustart vorübergehend lahmlegen (Denial of Service, DoS). Außerdem sind Cross-Site-Scripting-Angriffe gegen Nutzer des grafischen Webinterfaces denkbar. Das Risiko bewertet Cisco als „hoch“ (CVSS-Score 7.5).

Exploits sind laut Cisco nur dann möglich, wenn das jeweilige Telefon beim Cisco Unified Communications Manager angemeldet ist und der Web-Zugriff aktiviert ist. Per Default sei dies nicht der Fall.

Wie man den aktuellen Status der Web-Access-Funktion prüft, ist Ciscos Advisory zu den Lücken zu entnehmen. Dort findet man auch eine Übersicht über die gefixten Releases der von den Geräten genutzten Cisco SIP Software.

Ubiquiti: Debugging-Funktionen als potenzielles Einfallstor

Die Sicherheitslücke CVE-2025-52663 (CVSS-Score 7.2) steckt in UniFi Talk Touch bis einschließlich Version 1.21.16, UniFi Talk Touch Max bis inklusive Version 2.21.22 sowie Telefonen der Serie UniFi Talk G3 bis inklusive Version 3.21.26.

Weiterlesen nach der Anzeige

Bei diesen Geräten wurde offenbar ab Werk die Debugging-Funktionalität nicht wie vorgesehen deaktiviert. Ein entfernter Angreifer mit Zugriff auf das UniFi Talk Management Network könnte über die Programmierschnittstelle der Geräte auf diese Funktionen zugreifen.

Welche Konsequenzen solche Manipulationen im Einzelnen hätten, ist Ubiquitis Schwachstellenbeschreibung im Security Advisory Bulletin nicht zu entnehmen. Ein Update mindestens auf die jeweils nächste Version (Talk Touch 1.21.17, Talk Touch Max 2.21.23, Talk G3 3.21.27) bannt jedenfalls die Gefahr.


(ovw)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen