MÜNCHEN (COMPUTERWOCHE) - Internet Security Systems (ISS) hat zwei kritische Sicherheitslecks in der Internet-Telefonie-Software von Cisco Systems entdeckt. Betroffen ist eine Hauptkomponente der Software "CallManager", die VoIP-Telefonate (Voice-over-IP) initiiert und routet. Über die eine Schwachstelle könnte ein Angreifer alle Sprachdienste abschießen; bei der anderen könnte er die Kontrolle über das System erlangen und unter anderem Gespräche umleiten, mithören oder sich Zugang zu anderen Rechnern mit Ciscos VoIP-Produkten verschaffen.
Nach Angaben von ISS und Cisco sind bislang keinerlei Fälle von Missbrauch bekannt geworden. Kunden sollten aber in jedem Fall die bereits erhältlichen Fixes installieren, erklärte der kalifornische Netzausrüster.
Neel Mehta, Team Leader der ISS-Forschungseinheit X-Force, bezeichnete die Fehler als "sehr schwerwiegend", weil sie "erlauben, dass man den Kern von VoIP-Infrastrukturen kompromittiert". Ein Hacker könne "binnen Stunden" entsprechende Angriffe konzipieren, das nötige Wissen könne er zum Teil durch Analyse der Patches gewinnen.
Aus Sicht von Mehta sind "Implementierungsfehler" bei Voice-over-IP gang und gäbe und nicht etwa Cisco-spezifisch (siehe "VoIP - wo bleibt die Sicherheit?"). "Das Problem mit VoIP ist, dass es da nicht nur Implementierungsfehler gibt, sondern es gibt auch Fehler im Design der Protokolle, die es schwierig machen, eine VoIP-Infrastruktur abzusichern." Hier seien Neuentwürfe oder das Hinzufügen von Sicherheitstechniken nötig, warnte der Experte. (tc)
