Telefon wählt plötzlich eine Ausländische Nummer

Sieht aus, als ob auf dem Telefon in der Firmware bereits Backdoors enthalten sind, die (hier nach Rücksetzen auf Werkskonfiguration) eine Nachricht an Mr. oder Mrs. X schicken: "Telefon xy, Adresse <IPv4> / <IPv6>, Port, Zugangsdaten" (bekannte Werksreset-Daten, aus der Seriennr. errechnet, in der Backdoor hinterlegt). Sprich, das Telefon meldet sich bei irgendeiner Vermittlung als "erreichbares Telefonie-Relais" an.

Ich stufe das Telefon als "kompromittiert" ein:
- entweder findet sich eine Original-Firmware des Herstellers auf den Supportseiten des Herstellers und diese läßt sich ohne den geräteeigenen Updatehelfer auf das Telefon schieben (jeglicher geräteeigene Update-Service ist auch als kompromittiert einzustufen - man darf nicht davon ausgehen, daß die angeblich vom Hersteller stammende Firmware wirklich vom Hersteller ist)
- oder das Gerät wird irreparabel zerstört und wandert in den Elektroschrott.

Was sagt denn SNOM dazu?
 
Aus meiner Sicht sollte hier SNOM an Board geholt werden. Das muss untersucht werden.
Zumal nach einem Reset restrict_uri_queries auf on stehen müsste, somit wäre das Einliefern von Anrufen über URL Calls nicht möglich.

Wobei:
https://service.snom.com/display/wiki/use_hidden_tags sagt:

NOTE: This feature works only if you have changed HTTP User and HTTP Password as well as the Administrator Password from the default value!

Das heißt, solange kein Kennwort gesetzt ist, dürfte ein Auslösen von Calls über URL Aufrufe gar nicht möglich sein. Also fällt das immer mehr als Ursache weg.

Kompromittierte Firmware, das wär ein Brummer. Das sollte SNOM wissen.

@Namlus Könntest Du auf dem Webinterface unter "Log" mal den Log Leven auf Info stellen und schauen ob sich da was auffälliges tut (also insbesondere während vielleicht solche Wählversuche gemacht werden)?
 
Gibt es denn eine Möglichkeit, die Konfiguration des Telefons über einen PC auszulesen und abzuspeichern?

Falls ja, sollte das einmal direkt nach einem Werksreset und dann direkt nach einem Auftreten der ungewöhnlichen Auslands-Anrufe gemacht werden. Sind die Dateien unterschiedlich groß, sollten sie an SNOM geschickt werden mit der Info "Dies ist eine Konfigurationsdatei direkt nach einem Werksreset und eine, nachdem das Telefon versucht hat nach ... zu telefonieren. Soll ein SNOM ... das nach einem Werksreset können oder stimmt was mit den Konfigurationen nicht?"

Im besten Fall sieht man sogar Differenzen in den beiden Dateien, bspw. Anmeldedaten, die beim Werksreset noch nicht vorhanden waren, aber 5 Minuten später ohne weiteres Zutun schon.
Das würde allerdings voraussetzen, daß das Zeug in lesbarem Klartext gespeichert wird (bspw. als .xml).
 
Zum Testen, wenn man das überhaupt noch will, müsste ds Telefon in einem Netz zurückgesetzt und neu gestartet werden, welches keine Zugang zum Internet hat.
Vielleicht mit einem PI-hole, oder einem ähnliches System, dem Telefon ein 'funktionierendes' Internet vorspielen )IP-Adressen werden über ein anderes Netz aufgelöst und dem Telefon vorgeworfen), aber raus in Internet sollte das nicht dürfen.
So könnte man sehen, was es wie warum anstellt
 
Je länger ich drüber nachdenke:

- Eine Einlieferung der Calls über URL Aufruf (gemäß https://service.snom.com/display/wiki/Can+I+control+my+snom+phone+remotely ) ist wie gesagt beim letzten Szenario unwahrscheinlich. Dieses Feature ist anscheinend aus Sicherheitsgründen deaktiviert wenn KEIN Passwort gesetzt ist. Das war ja nach dem Reset der Fall.

- Eine kompromittierte Firmware wäre eine Erklärung, aber ich bin unsicher wie wahrscheinlich das ist. Einerseits weil wir hier dann wirklich an einer großen Geschichte dran wären, wo es mich wundern würde dass die noch nirgends anders aufgetaucht ist (die ersten Vorfälle hat @Namlus ja schon vor über zwei Monaten berichtet). Und andererseits weil der Weg der Ausnutzung eher ungewöhnlich ist. Ich mein, wenn ich die Firmware kompromittiere, dann zieh ich mir doch gleich die eingetippten SIP Zugangsdaten raus und telefoniere damit. Dann bleibt es auch viel länger unbemerkt und ich kann mehr Kohle rausziehen.

Ich bin also der Meinung, man sollte das SNOM zeigen. Schon alleine um andere SNOM User zu schützen, falls hier was größeres abgeht.
Wir sind SNOM Silver Partner und haben einen relativ flinken Zugang zu SNOM. @Namlus , wärst Du bereit hier etwas zu helfen? Wir müssten denen Deine Config schicken sowie Logs und idealerweise einen Trace wenn das Problem gerade besteht. Falls Du dazu bereit wärst, schick mir bitte eine PN mit Deiner E-Mail Adresse.
 
  • Like
Reaktionen: NDiIPP
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.