Die Firmware der Lifesize-Produkte Team, Room, Passport und Networker der Serie 220 weist mehrere Schwachstellen auf. Laut einem Sicherheitsforscher der Firma Trustwave ermöglichen sie unter bestimmten Voraussetzungen das Ausführen beliebiger Befehle auf verwundbaren Geräten durch einen entfernten Angreifer.

Zwar erfordert das Ausnutzen der Schwachstellen einen Login in das jeweilige Konferenzsystem. Allerdings werden die betroffenen Produkte mit Default-Zugangsdaten für den Support-Account ausgeliefert, die Angreifer über eine kurze Internetrecherche schnell herausfinden können. Trustwave empfiehlt Nutzern, diese Zugangsdaten umgehend zu ändern. Zudem hat Lifesize einen Hotfix für die Geräte bereitgestellt. Nutzer erhalten diesen passenderweise über den Kundensupport.

Angriff via Command Injection

Der zugrunde liegende Bug besteht in einer unzureichenden Überprüfung von Eingaben in die Benutzeroberfläche. Sie erlaubt die Übergabe von Befehlen an die PHP-Funktion shell_exec(), die dann auf dem verwundbaren Konferenzsystem ausgeführt werden. Weitere Details sind einem Security-Advisory von Trustwave zu entnehmen.

(ovw)