Pascom 19.21 und CVE-2021-45966 CVE-2021-45967. Bitte dringend um Aufklärung

Hallo,

durch Zufall bin ich heute auf die Release Notes gestoßen zur Pascom 19.21 (01.02.2022)
Link → pascom Server 19

Hier steht dann unter anderem:
Sicherheitslücken behoben (CVE-2021-45966, CVE-2021-45967)

Das hat mich dann ein wenig irritiert. Eine kurze Suche hat mich dann hierhin gebracht:

https://nvd.nist.gov/vuln/detail/CVE-2021-45966
sowie
https://nvd.nist.gov/vuln/detail/CVE-2021-45967

Beide Lücken sind als kritisch eingetragen mit einem Score von je 9.8 von 10.

Jetzt war ich nicht nur irritiert, sondern sauer.
Die Lücken wurden bereits am 1.2.2022 adressiert und ich stoße nur per Zufall drauf? Das kann nicht sein.

Ich habe dann weiter nach den CVE gesucht. Das Pascom Forum gibt nichts her. Entweder nutzen nur noch wir die lokale Anlage oder niemand liest die Release Notes.

Gut. Ich wende mich also an den Chat. Frage, ob es eine Möglichkeit gibt sich künftig über die Release Notes aktiv informieren zu lassen oder zumindest über Sicherheitslücken informiert zu werden, um diese schnell zu schließen. Ergebnis: Geht nur für Cloud. Lokal muss man sich selbst aktiv informieren. RSS Feed oder Newsletter gibt es nicht.

Aha … nun gut … oder auch nicht gut, aber was soll man machen? Spontan in die Cloud ziehen? Keine Option.

Dann habe ich noch explizit nach CVE-2021-45966 und CVE-2021-45967 gefragt und ob es irgendwo einen Artikel gäbe, wo man schauen könnte, ob man infiziert wurde.

Zurückbekommen habe ich diesen Artikel. Vorweg: er ist irrelevant.

Bis mir aufgefallen ist, dass es hier um log4j und eine andere CVE gegangen ist (der Artikel kam mir bekannt vor, da wir damals deswegen auf 19.20 gegangen sind) war der Chat schon zu ende.

Im Artikel steht das mit Version 19.20 ein Workaround implementiert wurde. Auf Nachfrage ob das jetzt bereits mit 19.20 und dem Workaround gelöst war und mit 19.21 das nur besser ausgearbeitet wurde, meinte der Pascom Mitarbeiter: “meines Wissens war auch schon die 19.20 save - Sie können aber gernenochmal in dem Forumspost nachfragen
das is nicht wirklich mein Kernthema”

Irgendwie kam mir das ganze komisch vor und ich habe selbst noch mal geschaut.

Der Mann mag recht gehabt haben. Nur leider meinte er die FALSCHE Sicherheitslücke!!! Absolut inakzeptabel!!!

  1. Mann wird nicht aktiv gewarnt, dass es eine solche Lücke gibt
  2. Im Forum wird geschwiegen und es gibt keine Infos zu der Lücke
  3. Die Mitarbeiter im Chat geben falsche Informationen raus

Ok. Aufregen hilft nichts, aber was ist nun mit den genannten Sicherheitslücken?

Hier werden die Lücken betrachtet. https://kerbit.io/research/read/blog/4 Scheinbar von dem der es auch herausgefunden hat.

Laut Timeline am Ende der Seite ist folgendes passiert:

Dec 29, 2021 → Intial contact with Pascom
Jan 3, 2022 → Sent vulnerability details
Jan 5, 2022 → Pascom prepares patches and a grace peroid to disclosure is set
Mar 7, 2022 → Public disclosure

Bedeutet Pascom hatte genug Zeit, um Kunden zu informieren. Die Lücke wurde am 07.03.2022 veröffentlicht.

Wir haben heute den 30.3 und nur durch Zufall wird die Anlage heute auf Version 19.21 gezogen. Noch mal zusammengefasst: Seit 23 Tagen gibt es eine öffentliche Schwachstelle, welche mitsamt Anleitung im Netz zu finden ist !!! Ebenfalls inakzeptabel!!

Dem pascom Server Managemet zufolge haben wir aktuell 7.19.20.R installiert. Auf der Seite der Anlage steht pascom 19.20.R

In den nachfolgen Liks steht überall folgendes:

These bugs have been patched in 7.20.x versions bzw: An issue was discovered in Pascom Cloud Phone System before 7.20.x

https://nvd.nist.gov/vuln/detail/CVE-2021-45966
https://nvd.nist.gov/vuln/detail/CVE-2021-45967
https://kerbit.io/research/read/blog/4

Worauf bezieht sich die Versionsnummer? Wurde es nun adressiert mit der Version pascom 19.20 oder doch erst 19.21.?

Könnte sich hierzu bitte ein Mitarbeiter bei uns melden? Das hier ist eine Katastrophe und grob fahrlässig.

Hier würde ich mir mehr Transparenz wüschen. Auch wenn jetzt die Cloud das Hauptprojekt ist, sollte sowas nicht passieren.

Bitte teilen Sie uns mit wie wir herausfinden können ob wir über diese Lücke bereits angegriffen wurden

Pascom hat per Email über die genannten Sicherheitslücken informiert, dies war am 4.2.2022, also einen Tag nach verifikation der Lücken (lt. kerbit.io). Von daher kann man nicht sagen es gab keine Info. Ob die Mail nun tatsächlich jeder Kunde (oder Nutzer) bekommen hat kann nur pascom beantworten. Ich bin weder direkter Kunde noch Partner.

Inhalt der Email:

Von : pascom marketing@pascom.net
Betreff : pascom Information about Security Issues DE+EN
Datum : 04.02.2022 10:06
Sehr geehrte pascom Kunden,

auf pascom onsite Servern war es möglich, durch Ausnutzung von Sicherheitslücken, Code-Teile auszuführen. Diese
wurden mit der Serverversion 19.21 geschlossen.

Sicherheitslücken konkret:
CVE-2021-45966
CVE-2021-45967

Diese Sicherheitslücken sind noch nicht veröffentlicht. Updaten Sie Ihre pascom Serverversion umgehend, um noch
vor der Veröffentlichung in den nächsten Wochen, umfassend geschützt zu sein.
[…]

Es gibt wohl auch einen Hinweis auf die CVEs im Partner-Bereich des Forums - leider ist dieser nicht für jeden zugänglich.
https://forum.pascom.net/t/sicherheitslucken-behoben-cve-2021-45966-cve-2021-45967/9669/4

Wenn ich mir die Versionen in den CVEs und der Mail von pascom anschaue sind dort tatsächlich unterschiedliche genannt. Hier besteht noch klärungsbedarf seitens pascom.

Gruß,
Rapha

Danke für deine Antwort.
Hast du Lizenzen mit Support ?

Wir haben nur die Basic Variante ohne Support. Ob wir diese Mail bekommen haben muss ich prüfen.

Nein, nur ebenfalls nur eine Basic-Lizenz. Support gibt es dann ja nur hier im Forum oder über meinen Reseller.
Allerdings habe ich bereits bereits einen Account gehabt bevor das Portal für die “Normalnutzer” nicht mehr zugänglich gemacht wurde. Vielleicht ist meine Email-Adresse daher eine “Altlast” :slight_smile:

Gruß,
Rapha

Wie schon oben gesagt wurde direkt Infos an Kunden und Partner versendet.
Wenn ihr kein keinen Support habt werdet ihr nicht benachrichtigt so einfach ist das.

Habt ihr schonmal gehört das Microsoft bei Euch anruft und sagt Hey da gibt es einen Bug macht Mal Update?

Gruß Markus

Hallo @xero,

da Du uns grobe Fahrlässigkeit unterstellst, melde ich mit zu Wort, obwohl von anderen Community-Mitgliedern bereits alles gesagt wurde.

Selbstverständlich haben wir ALLE Onsite-Kunden angeschrieben. Egal, ob FREE, BASIC oder PREMIUM. Als E-Mail-Adresse haben wir den bei der jeweiligen Subscription hinterlegten Ansprechpartner gewählt (wen sonst). Natürlich kann dieser auch mal veraltet sein.

Stilles Informieren der Betroffenen ist in dieser Situation das einzig Richtige. Wir haben das innerhalb 24 Stunden gemacht. Danach stand es öffentlich in den Release Notes.

Ich würde das nicht als fahrlässig, sondern vorbildlich bezeichnen.

Und ja, zieht Dein Zeug in die pascom.cloud.

LG
Mathias

Hi,

Danke für die Antworten. Das sich hier Leute angegriffen fühlen war mir klar und auch extra so gewählt.

@MarkusSachs:
Was ist denn das mit dem Support für eine Aussage? Das sind essentielle Sicherheitsaspekte und auch Lücken die man sich da auch noch selbst einkauft. Warum sollte man nur User informieren die zusätzlichen Support bezahlen ? Da macht die aussage von @Mathias schon mehr Sinn.

Ist ja so als ob man einen Schrittmacher bekommt, dieser zu einem Fehler mit Todesfolge neigt aber man nur informiert wird wenn man für eine Zusatzleistung bezahlt. Die anderen zahlen ja nicht. Selbst schuld? Wohl kaum.

Nein, Microsoft ruft bei uns nicht an aber Microsoft hat eine Seite die man abonnieren (RSS Feed, Mail) kann wo man Informationen bekommt was wann wie zu tun ist. Weiterhin gibt es auch noch das Microsoft Security Response Center (MSRC) was proaktiv informiert wenn man es denn möchte.
pascom sollte man aber auch nicht mit Microsoft vergleichen. Da MS so groß ist bekommt man es bei Essentiellen Sicherheitslücken immer irgendwo aus den Medien mit.

@Mathias,

zugegeben habe ich meinen Beitrag in der Situation ein wenig drastisch formuliert. Evtl. kannst du dich aber in meine Situation versetzen.

Das mit der Mail werde ich noch mal prüfen. Allerding hätte ich mir zumindest noch irgendwo eine zweite Informationsquelle gewünscht. Du sagst ja selber, dass der Ansprechpartner auch mal veraltet sein kann. Wie soll man dann darauf aufmerksam werden ? Ein Kanal im Chat nur für Kunden wäre ja immer noch privat genug damit es nicht gleich alle mitbekommen.

Auch kann es nicht sein, dass man im Chat eine solche Falschaussage bekommt. “Kann ich ihnen nicht beantworten. Bitte wenden Sie sich an die und die Abteilung” hätte doch gereicht. Im Zweifel hätte ich dank der Aussage dann gedacht, dass ja alles gefixt ist und die Anlage so weiter laufen gelassen bis wieder Ressourcen für das Update da gewesen wären. Welches Adjektiv würde man denn für diese Situation wählen ? Etwa nicht fahrlässig ? Vermutlich hätte der Geschäftsführer dazu eine andere Meinung wenn man ihm erklären müsste wie es zu einer Infektion des Netzwerkes gekommen wäre.

Mehr als das als Verbesserung vorzuschlagen kann ich nicht. Das fahrlässig nehme ich hiermit mal zurück aber mit vorbildlich würde ich immer noch nicht mitgehen.

Zumal mir immer noch nicht die Frage beantwortet wurde wie ich herausfinden kann ob und wie die Lücke bei uns evtl. ausgenutzt wurde. @MarkusSachs: Bei MS steht sowas immer mit in den KB Artikeln

Abschließend vielen Dank für den Hinweis mit der Cloud. Das ist für uns leider keine Option. Bislang war die Telefonanlage der Pascom immer ein guter und zuverlässiger Begleiter. Da es aber keine Möglichkeit gibt diese in ein bekanntes Produkt von MS zu integrieren und wir uns einen dauerhaften parallelbetrieb mit je 2 unterschiedlichen Anwendungen nicht vorstellen können und wir die Pascom leider nicht, wie es beworben wird / oder mal wurde, als Ersatz für dieses Produkt sehen, wird das leider nichts werden.

Gruß
xero

1 Like

Das sind Top-Voraussetzungen für wertschätzenden Support in der Zukunft. Merkste selbst, oder? Und falls (noch) nicht, dann hoffentlich irgendwann mit etwas Abstand und Selbstreflektion.

1 Like

Das ging an dich direkt. Mir fehlen die Worte.

@noses, Danke für die Nachricht. Leider trägt diese nicht zur Lösung meines Problems bei. Es geht hier im Zweifel um die Sicherheit eines ganzen Unternehmens und um Arbeitsplätze. Da kann der Ton schon mal schärfer werden. Sollte er sogar auch.

Wenn man dann einen Beitrag erstellt den keiner erreicht, hat keiner was von.

@Mathias,

danke. Ich prüfe wo eine solche Mail abgeblieben sein könnte.

Dennoch gilt auch weiterhin was ich oben beschrieben habe: Ein Kommunikationsweg ist zu wenig.

Weiterhin weiß ich aber nicht wie ich herausfinde ob die Lücke ausgenutzt wurde.

Wer im Glashaus sitzt… In meiner Welt hat es noch nie geholfen, wild drauf loszuschlagen und dann noch weitere Hilfe zu erwarten. Vielfach ist es eher so, dass damit von eigenen Fehlern abgelenkt werden soll. Aber lassen wir das, denn was weiß ich schon… Ich bin raus…

@Mathias,

die Mail kommt von marketing@pascom.net und schaut so aus:

Ja, somit wurde eine Mail versendet. Leider nicht ganz eindeutig.
Warum diese wegfefiltert wurde oder evtl. ignoriert wurde kann ich nachvollziehen. Zumal sie über eine Adresse kommen wo meist nur Youtube Ankündigungen oder Sachen zur Cloud gezeigt werden

Ich denke die Diskussion führ hier zu keinem weiteren Ergebnis.
Einige Punkte hätten besser laufen können und das auf beiden Seiten…
Die Situation ist wie sie ist.

Nehmt meine Punkte als Feedback und als Verbesserungschance eures Services.

Am Ende bleibt noch die Frage: Wie kann ich nachvollziehen ob es eine Infektion über diesen Weg gab oder nicht?