Suche   Â
ISS: Open Source VoIP-Software Asterisk ist riskant
ID: 21596
(firmenpresse) - -Forschungs- und Entwicklungsabteilung X-Force deckt zwei Schwachstellen im Inter-Asterisk eXchange Protokoll Version 2 auf
-Softwarelecks leisten Denial-of-Service-Angriffen Vorschub
KASSEL/ATLANTA, 19.07.2006 Das Forschungs- und Entwicklungsteam X-Force von Internet Security Systems (ISS) spürte erneut Schwachstellen im Voice-over-IP-Umfeld auf. Hiervon betroffen sind diesmal Unternehmen, die mit der kostenfreien Open-Source-Software Asterisk arbeiten. Offensichtlich weist das für die Kommunikation zwischen Asterisk-Nebenstellenanlagen entwickelte Inter-Asterisk eXchange Protokoll in der Version 2.0 (IAX2) zwei Sicherheitslücken auf, die sich Hacker für gezielte Denial-of-Service-Angriffe zu Nutze machen können. Im Erfolgsfall ist es ihnen möglich, die eingesetzten Asterisk-Server lahmzulegen und damit über die Systeme bereitgestellten Telefonie- und Internetdienste ausser Gefecht zu setzen.
Kunden, die Proventia-Lösungen von ISS in ihren Netzwerken einsetzen, sind bereits vor Angriffen auf die Schwachstelle geschützt. Ebenso haben sich die Entwickler von Asterisk bereits dem Problem angenommen, ein Patch steht inzwischen zur Verfügung. Dieses ist sowohl über das Asterisk-Projekt als auch über Digium erhältlich. Asterisk-Anwendern wird dringend angeraten, ihre Systeme schnellstmöglich auf den neuesten Stand zu bringen. Sollte dies aus praktischen Gründen nicht direkt in Frage kommen, empfiehlt es sich sicherzustellen, dass IAX2-Dienste nicht für die Öffentlichkeit zugänglich sind. Ebenso wird Asterisk-Nutzern nahegelegt, die Passwörter aller Accounts zu prüfen und die Zugangsdaten gegebenenfalls zu ändern. Weitere Informationen zum Thema sind im Internet unter der folgenden Adresse abrufbar: www.asterisk.org.
Die Sicherheitslecks im Ãœberblick
Eine der jetzt von der ISS X-Force ermittelten zwei Schwachstellen beruht auf einem Fehler bei der Verarbeitung von Anrufanfragen. Wird eine Asterisk-Nebenstellenanlage mit vorgetäuschten Gesprächen überflutet, nimmt der Server keine weiteren Telefonate mehr entgegen. Die zweite Sicherheitslücke betrifft die Passwortvergabe. Angreifern ist es möglich, Accounts auszuspähen, für die entweder bislang noch keine Zugangskennung vergeben wurde oder die durch schwache Passwörter nur unzureichend geschützt sind. Sobald sie sich Zugang zu diesen Benutzerkonten verschafft haben, ist es ihnen möglich über die Asterisk-Nebenstellenanlage weitere Netzwerke mit UDP-Paketen zu überschwemmen. Aufgrund des dadurch erzeugten extrem hohen Verkehrsaufkommens kann die Internetverbindung des Opfers schlimmstenfalls lahmgelegt werden, notwendige Dienste stehen nicht länger zur Verfügung.
Zitat
"Unternehmen, die bereits Voice-over-IP- (VoIP) Systeme im Einsatz haben, sollten auf jeden Fall sicherstellen, dass ihre Nebenstellenanlagen vor Denial-of-Service-Angriffen geschützt sind. Neben Schwachstellen, wie jetzt bei Asterisk entdeckt, müssen auch weitere genutzte VoIP-Protokolle einer genauen Prüfung unterzogen werden. Denn jedes Sicherheitsleck eröffnet Hackern Tür und Tor für Vishing-Angriffe. Diese neue Spielart - also das Phishing über VoIP - ermöglicht unberechtigten Dritten nicht nur auf vertrauliche Nutzerinformationen zuzugreifen, sondern auch über das VoIP-Netzwerk Spam-Anrufe zu übermitteln. Um den sich dadurch abzeichnenden Risiken rechtzeitig Einhalt zu gebieten, ist die Einführung von Massnahmen gefragt, mit denen sich Infrastrukturen präventiv absichern lassen. Auf diese Weise lässt sich ein unterbrechungsfreier Geschäftsbetrieb gewährleisten und die Produktivität aufrecht erhalten."
Georg Isenbürger, Director Sales Deutschland, Internet Security Systems
Ca. 3.727 Zeichen bei durchschnittlich 65 Anschlägen pro Zeile (inklusive Leerzeichen)
Weitere Informationen:
Internet Security Systems GmbH
Stefanie Woytowitz
Miramstrasse 87
D-34123 Kassel
Telefon: 0561.57087.22
Telefax: 0561.57087.18
E-Mail: swoytowitz(at)iss.net
billo pr GmbH
Tina Billo / Annette Spiegel
Taunusstrasse 43
D-65183 Wiesbaden
Telefon: 0611.5802.417 od. 415
Telefax: 0611.5802.434
E-Mail: tina(at)billo-pr.com annette(at)billo-pr.com
Kurzprofil Internet Security Systems: Internet Security Systems (ISS) gilt bei renommierten Unternehmen und Regierungsbehörden rund um den Globus als erste Instanz in Sachen Sicherheit. Das Angebot umfasst alle für die präventive Absicherung von Rechnern, Servern und Netzwerken erforderlichen Produkte und garantiert deren unterbrechungsfreien Betrieb. Eine breite Palette an Managed Security Services rundet das Leistungsspektrum ab. Seit seiner Gründung im Jahr 1994 setzt ISS auf ein mehrstufiges Sicherheitskonzept, das den Schutz von Schwachstellen in den Mittelpunkt stellt. Diesem Ansatz folgend, konzentriert sich der Hersteller auf die Entwicklung von Produkten und Services, die frühzeitig sowohl bekannte als auch bislang weniger beachtete Angriffstechniken erkennen und diese automatisch entschärfen, bevor Schaden entsteht. Dabei kommt der ISS-eigenen Forschungs- und Entwicklungsabteilung X-Force, die international als Autorität auf dem Gebiet der Schwachstellenermittlung gilt und permanent mit dem Internet in Zusammenhang stehende Bedrohungspotenziale aufdeckt, besondere Bedeutung zu. Von dem Team gewonnene Arbeitsergebnisse fliessen permanent in alle von dem Hersteller angebotenen Lösungen ein. Kunden, die auf ISS vertrauen, sind somit stets einen Schritt voraus und können darauf vertrauen, dass ihre geschäftsentscheidenden Ressourcen nicht zum Ziel von über das Internet geführten Angriffen werden. Neben seinem Hauptsitz in Atlanta, USA, ist ISS auf allen Kontinenten vertreten. Sitz der deutschen Niederlassung ist Kassel. Mehr Informationen erhalten Sie unter www.iss.net.
  
  
  
Datum: 19.07.2006 - 10:30 Uhr
Sprache: Deutsch
News-ID 21596
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Tina Billo
Stadt:
Kassel / Atlanta
Kategorie:
Bildung & Beruf
Meldungsart: Produktinformationen
Versandart: eMail-Versand
Diese Pressemitteilung wurde bisher 315 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"ISS: Open Source VoIP-Software Asterisk ist riskant"
steht unter der journalistisch-redaktionellen Verantwortung von
Internet Security Systems (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).