Solved
Sicherheitslücke bei Yealink RPS – nutzt Telekom Cloud PBX dieses System?
20 hours ago
Hallo zusammen,
wir sind auf eine kritische Sicherheitslücke im Yealink Remote Provisioning Service (RPS) gestoßen, die laut aktuellem Bericht mehrere Schwachstellen beinhaltet. Betroffen sind unter anderem:
CVE-2025-52917 – fehlendes Rate Limiting in der RPS API
CVE-2025-52919 – keine oder unzureichende Prüfung von TLS-Zertifikaten beim Upload
Ausführliche Infos dazu: https://dnip.ch/2025/06/25/yealink-voip-phones-insecurity-by-design/
Durch diese Schwachstellen könnten Angreifer unter bestimmten Umständen:
Konfigurationsdaten von Yealink-Endgeräten auslesen,
Geräteinformationen massenhaft abfragen (Enumeration),
manipulierte Zertifikate hochladen und so z. B. Man-in-the-Middle-Angriffe durchführen,
die Integrität und Sicherheit der Telefonie-Infrastruktur gefährden – vor allem bei zentral verwalteter Provisionierung.
Da bei und von der Telekom Cloud PBX automatisch provisionierte Yealink-Telefone zum Einsatz kommen, stellt sich uns die Frage:
Wird bei der Telekom Cloud PBX das Yealink RPS eingesetzt?
Falls ja, sind die oben genannten Schwachstellen bereits gepatcht bzw. durch andere Maßnahmen abgesichert?
Gibt es offizielle Informationen oder Stellungnahmen der Telekom zu diesem Thema?
Ich würde mich freuen, wenn jemand aus der Community oder vom Telekom-Team hierzu Auskunft geben kann – insbesondere im Hinblick auf die Sicherheit der eingesetzten Endgeräte und der Provisionierungsinfrastruktur.
Danke vorab und viele Grüße :)
14
3
This could help you too
123
0
1
3 years ago
378
0
1
553
0
3
You might also be interested in
Buying advice
Do you need personal purchasing advice? Telekom's business customer team will be happy to advise you.
View offers
Find out about our current offers for cloud & digital services.
19 hours ago
Hallo @leipzig_wittrock_gruppe,
vielen Dank für deinen Beitrag hier in der Community. Ich freue mich, dass du uns auf dieses Thema aufmerksam machst. Ich muss gestehen, dass ich das erste Mal davon lese und mich mit der Thematik nicht wirklich auskenne. Damit bei einer Sicherheitslücke schnell gehandelt werden kann, habe ich den Spezialisten mit ins Boot geholt, der sich auf dem Gebiet auskennt. Sobald ich dir nähere Infos nennen kann, melde ich mich wieder bei dir. Bis dahin bitte ich dich um ein wenig Geduld.
Beste Grüße
Tanja
0
0
Official Solution
accepted by
19 hours ago
@leipzig_wittrock_gruppe
Da bin ich auch schon wieder. Das ging jetzt schneller als gedacht.
Bei den Yealink Endgeräten für unsere CloudPBX wird RPS nicht eingesetzt. Wir beziehen für unsere CloudPBX Yealink Endgeräte mit einer speziell für die Telekom angepassten Firmware. Diese Firmware kontaktiert nicht den RPS von Yealink.
Die Inbetriebnahme an der CloudPBX erfolgt nicht über die MAC Adresse (so wie bei RPS üblich), sondern über Benutzername und Passwort aus unserem Telekom CloudPBX Portal. Das Telefon kommuniziert nur mit den Telekom Servern und erhält von dort auch seine Konfiguration.
Ich denke, das beantwortet deine Fragen. Falls noch etwas unklar sein sollte, kannst du dich jederzeit hier in der Community bei uns melden.
Beste Grüße
Tanja
0
18 hours ago
Hallo Tanja,
vielen lieben Dank für die schnelle und kompetente Antwort. Das lässt uns jetzt wieder etwas ruhiger schlafen. :)
Liebe Grüße
Daniel
0
0
Unlogged in user
Ask
from