Business Security

Bedrohung via Telefonanlage

Zahlreiche Büro-und Telefonanlagen sind grundlegend unsicher. Wissenschaftler haben festgestellt, dass sich 33 Geräte von 25 Herstellern kapern lassen. Somit ist Tür und Tor geöffnet für Spionage, Systemangriffe und sogar Totalausfälle.

Lücken in Web-Interfaces

Die Funktionsweise der meisten Telefonanlagen in größeren Firmen und Organisationen ist über Voice-over-IP (VoIP) geregelt. Das bedeutet, dass alle Geräte der Anlagen regelmäßig über ein lokales Firmennetz miteinander verbunden  sind. Vom Admin werden sie über ein Web-Interface verwaltet. Wie heise.de dazu, unter Berufung auf Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt, berichtete, haben viele dieser Web-Interfaces verheerende Sicherheitslücken über die sich die Telefonanlage kapern lässt.

Im Rahmen ihrer Untersuchungen gelang es den Wissenschaftlern verschiedene Attacken auszuführen. Dies waren unter anderem:

  • Angriffe anderer Computer im betroffenen Netzwerk mittels Einbringung von Schadcode in das Netzwerk.
  • Das komplette Lahmlegen der Telefonsysteme
  • Bedingung dafür ist allerdings der Zugriff zum internen Netzwerk und auch eine gültige Anmeldung für das VoIP-System.

Betroffene Hersteller

Von den 16 verschiedenen Sicherheitslücken sind laut dem Fraunhofer SIT insgesamt 33 verschiedene Geräte von 25 Herstellern betroffen. Diese haben im Vorfeld der Veröffentlichung bereits Firmware-Updates bereitgestellt, die auf den betroffenen Geräten dringend installiert werden sollten, um die Sicherheitslücken abzudichten. Betroffen sind unter anderem Geräte der Marken:

  • Akuvox
  • Alcatel-Lucent
  • AudioCodes
  • Auerswald
  • Atcom
  • Gigaset
  • Htek
  • Obihai
  • Unify
  • Yealink

Die Problematik der Sicherheitslücken

Dazu heißt es, dass die Sicherheitslücken eine Ansammlung verschiedener Probleme sind, die sich überraschend oft in Web-Interfaces von Embedded-Systemen finden. Bei den meisten handelt es sich um Programmierfehler, die dazu führen, dass Skripte, die vom lokalen Webserver auf dem Gerät ausgeführt werden, ihre Inputs nicht sorgfältig oder gar nicht prüfen. Ein Angreifer kann so entweder Daten auf dem Gerät manipulieren (und sich so zum Beispiel eine gültige Anmeldung verschaffen) oder direkt eigenen Shell-Code einschießen, der dann vom Web-Server ausgeführt wird.

In einigen Fällen finden sich ähnliche Schwachstellen in System-Diensten, die auf Eingaben aus dem Netzwerk warten und die ebenfalls auf ähnliche Weise missbraucht werden können. Bei anderen der Sicherheitslücken handelt es sich um Speicherverwaltungsfehler in Software-Komponenten des VoIP-Systems, die ebenfalls dazu missbraucht werden können, Daten zu verändern oder Schadcode auszuführen.

Sicherheit von Embedded Systemen

Wie dazu verlautet, sind Beobachter, die sich öfter mit der Sicherheit von Embedded-Systemen befassen kaum über eine derartige Entwicklung überrascht. Entsprechende Sicherheitslücken, vor allem in Web-Servern, die Administrations-Oberflächen bereitstellen, werden fast täglich aufgedeckt. Solche Lücken sind bei Heimroutern, Netzwerk-Kameras und Smart-Home-Hardware mittlerweile fast an der Tagesordnung. Es überrascht daher wenig, dass auch Telefonanlagen entsprechend verwundbar sind.

Fazit

Trotzdem sollte man den Entdeckungen der Fraunhofer-Forscher die nötige Aufmerksamkeit zollen. Telefonsysteme sind das Rückgrat der Organisation vieler großer Unternehmen und ein Ausfall kann sich verheerend auf deren Betriebsprozesse auswirken. Außerdem eignen sich diese Lücken hervorragend zum Ausspionieren von Betriebsgeheimnissen, da viele VoIP-Systeme das Mitschneiden von Anrufen ermöglichen. Angreifer, die bereits in ein internes Netz eingedrungen sind, könnten die Lücken außerdem missbrauchen, um einen neuen Brückenkopf zu etablieren und sich so noch hartnäckiger im Netz ihres Ziels festzusetzen. Auch die Möglichkeit, die Aufklärung eines fortschreitenden Hackerangriffs zu stören, indem die Telefonanlage der Ziel-Organisation lahmgelegt wird, sollte nicht außer Acht gelassen werden, so heise.de.

 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben