Security Professionals - ipfw add deny all from eindgebruikers to any

Yealink voip phone vulns

25-06-2025, 19:40 door Erik van Straten, 0 reacties
Daar gaan we weer ([1]): in elk Yealink VoIP telefoon zat (zit?) hetzelfde CA- (root-) certificaat - maar dat is geen probleem. Wel een blunder is dat de bijbehorende private key erbij zat (zit?) - dezelfde private key in elk telefoontoestel dus. Dat naast een aantal andere kwetsbaarheden.

Die kwetsbaarheden zijn gevonden door de onderzoekers Jeroen Hermans en Stefan Gloor. Eerder deze week publiceerden zij https://seclists.org/fulldisclosure/2025/Jun/20 (Engelstalig, met een deel van de details).

Vandaag verscheen dit Duitstalige artikel, met veel meer details, geschreven door Marcel Waldvogel: https://dnip.ch/2025/06/25/yealink-voip-phones-insecurity-by-design/.

Bron: https://infosec.exchange/@marcel@waldvogel.family/114742380540580847.

[1] Uit 2012, Cyberoam en Fortinet: https://security.nl/posting/37180.
Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.