Business Security

Bedrohung via Telefonanlage

Bedrohung via Telefonanlage
Fraunhofer-Forscher waren von zahlreichen Sicherheitslücken überrascht.

Zahlreiche Büro-und Telefonanlagen sind grundlegend unsicher. Wissenschaftler haben festgestellt, dass sich 33 Geräte von 25 Herstellern kapern lassen. Somit ist Tür und Tor geöffnet für Spionage, Systemangriffe und sogar Totalausfälle.

Lücken in Web-Interfaces

Die Funktionsweise der meisten Telefonanlagen in größeren Firmen und Organisationen ist über Voice-over-IP (VoIP) geregelt. Das bedeutet, dass alle Geräte der Anlagen regelmäßig über ein lokales Firmennetz miteinander verbunden  sind. Vom Admin werden sie über ein Web-Interface verwaltet. Wie heise.de dazu, unter Berufung auf Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt, berichtete, haben viele dieser Web-Interfaces verheerende Sicherheitslücken über die sich die Telefonanlage kapern lässt.

Im Rahmen ihrer Untersuchungen gelang es den Wissenschaftlern verschiedene Attacken auszuführen. Dies waren unter anderem:

  • Angriffe anderer Computer im betroffenen Netzwerk mittels Einbringung von Schadcode in das Netzwerk.
  • Das komplette Lahmlegen der Telefonsysteme
  • Bedingung dafür ist allerdings der Zugriff zum internen Netzwerk und auch eine gültige Anmeldung für das VoIP-System.

Betroffene Hersteller

Von den 16 verschiedenen Sicherheitslücken sind laut dem Fraunhofer SIT insgesamt 33 verschiedene Geräte von 25 Herstellern betroffen. Diese haben im Vorfeld der Veröffentlichung bereits Firmware-Updates bereitgestellt, die auf den betroffenen Geräten dringend installiert werden sollten, um die Sicherheitslücken abzudichten. Betroffen sind unter anderem Geräte der Marken:

  • Akuvox
  • Alcatel-Lucent
  • AudioCodes
  • Auerswald
  • Atcom
  • Gigaset
  • Htek
  • Obihai
  • Unify
  • Yealink

Die Problematik der Sicherheitslücken

Dazu heißt es, dass die Sicherheitslücken eine Ansammlung verschiedener Probleme sind, die sich überraschend oft in Web-Interfaces von Embedded-Systemen finden. Bei den meisten handelt es sich um Programmierfehler, die dazu führen, dass Skripte, die vom lokalen Webserver auf dem Gerät ausgeführt werden, ihre Inputs nicht sorgfältig oder gar nicht prüfen. Ein Angreifer kann so entweder Daten auf dem Gerät manipulieren (und sich so zum Beispiel eine gültige Anmeldung verschaffen) oder direkt eigenen Shell-Code einschießen, der dann vom Web-Server ausgeführt wird.

In einigen Fällen finden sich ähnliche Schwachstellen in System-Diensten, die auf Eingaben aus dem Netzwerk warten und die ebenfalls auf ähnliche Weise missbraucht werden können. Bei anderen der Sicherheitslücken handelt es sich um Speicherverwaltungsfehler in Software-Komponenten des VoIP-Systems, die ebenfalls dazu missbraucht werden können, Daten zu verändern oder Schadcode auszuführen.

Sicherheit von Embedded Systemen

Wie dazu verlautet, sind Beobachter, die sich öfter mit der Sicherheit von Embedded-Systemen befassen kaum über eine derartige Entwicklung überrascht. Entsprechende Sicherheitslücken, vor allem in Web-Servern, die Administrations-Oberflächen bereitstellen, werden fast täglich aufgedeckt. Solche Lücken sind bei Heimroutern, Netzwerk-Kameras und Smart-Home-Hardware mittlerweile fast an der Tagesordnung. Es überrascht daher wenig, dass auch Telefonanlagen entsprechend verwundbar sind.

Fazit

Trotzdem sollte man den Entdeckungen der Fraunhofer-Forscher die nötige Aufmerksamkeit zollen. Telefonsysteme sind das Rückgrat der Organisation vieler großer Unternehmen und ein Ausfall kann sich verheerend auf deren Betriebsprozesse auswirken. Außerdem eignen sich diese Lücken hervorragend zum Ausspionieren von Betriebsgeheimnissen, da viele VoIP-Systeme das Mitschneiden von Anrufen ermöglichen. Angreifer, die bereits in ein internes Netz eingedrungen sind, könnten die Lücken außerdem missbrauchen, um einen neuen Brückenkopf zu etablieren und sich so noch hartnäckiger im Netz ihres Ziels festzusetzen. Auch die Möglichkeit, die Aufklärung eines fortschreitenden Hackerangriffs zu stören, indem die Telefonanlage der Ziel-Organisation lahmgelegt wird, sollte nicht außer Acht gelassen werden, so heise.de.

 

Weiterführende Links:

Daten verschlüsseln und sichern

Schutz vor Malware

Ausführliche Informationen des Fraunhofer Instituts zu Herstellern und Updates

heise.de: VoIP-Sicherheitslücken: Viele Büro-Telefonanlagen grundlegend unsicher

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Business Security

Agil vs. stabil - Ein Konflikt zwischen Erfahrung und Innovation

Die IT-Branche erlebt oft einen Zusammenprall zwischen dem Innovationsdrang junger Talente und dem etablierten Sicherheitsbedürfnis erfahrener Experten, was zu Konflikten führen kann.

Cyber Experience Center in Augsburg

Stell dir vor, du bist mitten in einem Cyberangriff. Nicht als Zuschauer, sondern als Teil des Teams, das in Echtzeit Entscheidungen treffen muss. Genau das ermöglicht das neue Cyber Experience Center in Augsburg. Hier kannst du hautnah erleben, wie sich ein solcher Angriff anfühlt und welche Herausforderungen er mit sich bringt.

Business Security

Bankmitarbeiter auf Pornoseiten mit geschäftlicher E-Mail-Adresse unterwegs

Die private Nutzung geschäftlicher E-Mail-Adressen durch Bankmitarbeiter stellt ein erhebliches Sicherheitsrisiko dar.

Business Security

elektronischen Patientenakte in Deutschland

Der Start der elektronischen Patientenakte in Deutschland war von großen Hoffnungen begleitet, doch bereits kurz nach der Einführung traten erhebliche Sicherheitsbedenken auf. Experten hatten zuvor gewarnt und ihre Befürchtungen wurden durch Untersuchungen bestätigt.

Diese Themen könnten Sie auch interessieren!

X

Vorsicht vor Trend auf Instagram und TikTok: „Get to know me“ birgt Sicherheitsrisiken

Aktuell verbreitet sich ein gefährlicher Instagram-Trend, der inzwischen auch die TikTok-Community erfasst hat. Nutzer...
oben