- Forschungs- und Entwicklungsabteilung X-Force deckt zwei Schwachstellen im Inter-Asterisk eXchange Protokoll Version 2 auf
- Softwarelecks leisten Denial-of-Service-Angriffen Vorschub
Das Forschungs- und Entwicklungsteam X-Force von Internet Security Systems (ISS) spürte erneut Schwachstellen im Voice-over-IP-Umfeld auf. Hiervon betroffen sind diesmal Unternehmen, die mit der kostenfreien Open-Source-Software Asterisk arbeiten. Offensichtlich weist das für die Kommunikation zwischen Asterisk-Nebenstellenanlagen entwickelte Inter-Asterisk eXchange Protokoll in der Version 2.0 (IAX2) zwei Sicherheitslücken auf, die sich Hacker für gezielte Denial-of-Service-Angriffe zu Nutze machen können. Im Erfolgsfall ist es ihnen möglich, die eingesetzten Asterisk-Server lahmzulegen und damit über die Systeme bereitgestellten Telefonie- und Internetdienste außer Gefecht zu setzen.
Kunden, die Proventia-Lösungen von ISS in ihren Netzwerken einsetzen, sind bereits vor Angriffen auf die Schwachstelle geschützt. Ebenso haben sich die Entwickler von Asterisk bereits dem Problem angenommen, ein Patch steht inzwischen zur Verfügung. Dieses ist sowohl über das Asterisk-Projekt als auch über Digium erhältlich. Asterisk-Anwendern wird dringend angeraten, ihre Systeme schnellstmöglich auf den neuesten Stand zu bringen. Sollte dies aus praktischen Gründen nicht direkt in Frage kommen, empfiehlt es sich sicherzustellen, dass IAX2-Dienste nicht für die Öffentlichkeit zugänglich sind. Ebenso wird Asterisk-Nutzern nahegelegt, die Passwörter aller Accounts zu prüfen und die Zugangsdaten gegebenenfalls zu ändern. Weitere Informationen zum Thema sind im Internet unter der folgenden Adresse abrufbar: www.asterisk.org.
Die Sicherheitslecks im Überblick
Eine der jetzt von der ISS X-Force ermittelten zwei Schwachstellen beruht auf einem Fehler bei der Verarbeitung von Anrufanfragen. Wird eine Asterisk-Nebenstellenanlage mit vorgetäuschten Gesprächen überflutet, nimmt der Server keine weiteren Telefonate mehr entgegen. Die zweite Sicherheitslücke betrifft die Passwortvergabe. Angreifern ist es möglich, Accounts auszuspähen, für die entweder bislang noch keine Zugangskennung vergeben wurde oder die durch schwache Passwörter nur unzureichend geschützt sind. Sobald sie sich Zugang zu diesen Benutzerkonten verschafft haben, ist es ihnen möglich über die Asterisk-Nebenstellenanlage weitere Netzwerke mit UDP-Paketen zu überschwemmen. Aufgrund des dadurch erzeugten extrem hohen Verkehrsaufkommens kann die Internetverbindung des Opfers schlimmstenfalls lahmgelegt werden, notwendige Dienste stehen nicht länger zur Verfügung.
Zitat
„Unternehmen, die bereits Voice-over-IP- (VoIP) Systeme im Einsatz haben, sollten auf jeden Fall sicherstellen, dass ihre Nebenstellenanlagen vor Denial-of-Service-Angriffen geschützt sind. Neben Schwachstellen, wie jetzt bei Asterisk entdeckt, müssen auch weitere genutzte VoIP-Protokolle einer genauen Prüfung unterzogen werden. Denn jedes Sicherheitsleck eröffnet Hackern Tür und Tor für Vishing-Angriffe. Diese neue Spielart – also das Phishing über VoIP – ermöglicht unberechtigten Dritten nicht nur auf vertrauliche Nutzerinformationen zuzugreifen, sondern auch über das VoIP-Netzwerk Spam-Anrufe zu übermitteln. Um den sich dadurch abzeichnenden Risiken rechtzeitig Einhalt zu gebieten, ist die Einführung von Maßnahmen gefragt, mit denen sich Infrastrukturen präventiv absichern lassen. Auf diese Weise lässt sich ein unterbrechungsfreier Geschäftsbetrieb gewährleisten und die Produktivität aufrecht erhalten.“
Georg Isenbürger, Director Sales Deutschland, Internet Security Systems
Ca. 3.727 Zeichen bei durchschnittlich 65 Anschlägen pro Zeile (inklusive Leerzeichen)
- Softwarelecks leisten Denial-of-Service-Angriffen Vorschub
Das Forschungs- und Entwicklungsteam X-Force von Internet Security Systems (ISS) spürte erneut Schwachstellen im Voice-over-IP-Umfeld auf. Hiervon betroffen sind diesmal Unternehmen, die mit der kostenfreien Open-Source-Software Asterisk arbeiten. Offensichtlich weist das für die Kommunikation zwischen Asterisk-Nebenstellenanlagen entwickelte Inter-Asterisk eXchange Protokoll in der Version 2.0 (IAX2) zwei Sicherheitslücken auf, die sich Hacker für gezielte Denial-of-Service-Angriffe zu Nutze machen können. Im Erfolgsfall ist es ihnen möglich, die eingesetzten Asterisk-Server lahmzulegen und damit über die Systeme bereitgestellten Telefonie- und Internetdienste außer Gefecht zu setzen.
Kunden, die Proventia-Lösungen von ISS in ihren Netzwerken einsetzen, sind bereits vor Angriffen auf die Schwachstelle geschützt. Ebenso haben sich die Entwickler von Asterisk bereits dem Problem angenommen, ein Patch steht inzwischen zur Verfügung. Dieses ist sowohl über das Asterisk-Projekt als auch über Digium erhältlich. Asterisk-Anwendern wird dringend angeraten, ihre Systeme schnellstmöglich auf den neuesten Stand zu bringen. Sollte dies aus praktischen Gründen nicht direkt in Frage kommen, empfiehlt es sich sicherzustellen, dass IAX2-Dienste nicht für die Öffentlichkeit zugänglich sind. Ebenso wird Asterisk-Nutzern nahegelegt, die Passwörter aller Accounts zu prüfen und die Zugangsdaten gegebenenfalls zu ändern. Weitere Informationen zum Thema sind im Internet unter der folgenden Adresse abrufbar: www.asterisk.org.
Die Sicherheitslecks im Überblick
Eine der jetzt von der ISS X-Force ermittelten zwei Schwachstellen beruht auf einem Fehler bei der Verarbeitung von Anrufanfragen. Wird eine Asterisk-Nebenstellenanlage mit vorgetäuschten Gesprächen überflutet, nimmt der Server keine weiteren Telefonate mehr entgegen. Die zweite Sicherheitslücke betrifft die Passwortvergabe. Angreifern ist es möglich, Accounts auszuspähen, für die entweder bislang noch keine Zugangskennung vergeben wurde oder die durch schwache Passwörter nur unzureichend geschützt sind. Sobald sie sich Zugang zu diesen Benutzerkonten verschafft haben, ist es ihnen möglich über die Asterisk-Nebenstellenanlage weitere Netzwerke mit UDP-Paketen zu überschwemmen. Aufgrund des dadurch erzeugten extrem hohen Verkehrsaufkommens kann die Internetverbindung des Opfers schlimmstenfalls lahmgelegt werden, notwendige Dienste stehen nicht länger zur Verfügung.
Zitat
„Unternehmen, die bereits Voice-over-IP- (VoIP) Systeme im Einsatz haben, sollten auf jeden Fall sicherstellen, dass ihre Nebenstellenanlagen vor Denial-of-Service-Angriffen geschützt sind. Neben Schwachstellen, wie jetzt bei Asterisk entdeckt, müssen auch weitere genutzte VoIP-Protokolle einer genauen Prüfung unterzogen werden. Denn jedes Sicherheitsleck eröffnet Hackern Tür und Tor für Vishing-Angriffe. Diese neue Spielart – also das Phishing über VoIP – ermöglicht unberechtigten Dritten nicht nur auf vertrauliche Nutzerinformationen zuzugreifen, sondern auch über das VoIP-Netzwerk Spam-Anrufe zu übermitteln. Um den sich dadurch abzeichnenden Risiken rechtzeitig Einhalt zu gebieten, ist die Einführung von Maßnahmen gefragt, mit denen sich Infrastrukturen präventiv absichern lassen. Auf diese Weise lässt sich ein unterbrechungsfreier Geschäftsbetrieb gewährleisten und die Produktivität aufrecht erhalten.“
Georg Isenbürger, Director Sales Deutschland, Internet Security Systems
Ca. 3.727 Zeichen bei durchschnittlich 65 Anschlägen pro Zeile (inklusive Leerzeichen)
