computerwoche.de

Security

VoIP-Attacke: Erster Computer-Einbruch über SIP

18.10.2007
Von pte pte
Die Sicherheitsspezialisten von Secure Computing sind auf einen Proof-of-Concept-Code gestoßen, mit dem erstmals das VoIP-Protokoll SIP ausgenutzt wird, um Schadcodes auf einen Rechner zu schleusen.

Der Demoangriff basiert auf einer XSS-Attacke (Cross-Site Scripting) über VoIP. Hacker können somit die Kontrolle über den Zielrechner gewinnen und Malware über die IP-Telefonverbindung auf dem PC laufen lassen. Die Schwachstelle wurde vor einigen Tagen vom Sicherheitstechniker Radu State im Linksys-Gerät SPA-941 entdeckt. State stuft den Fehler als "sehr kritisch" ein, denn über eine XSS-Attacke ließe sich auch eine Firewall deaktivieren. Laut dem Experten liegt das Problem in den kleinen Web-Servern der VoIP-Software, die zur Konfiguration und Verwaltung der Software verwendet werden. Zudem würden sie eingesetzt, um verpasste Anrufe anzuzeigen. Der User greift auf diese Daten üblicherweise über das Netzwerk zu. In dem geknackten Gerät von Linksys ist es jedoch möglich, eine XSS-Injection durchzuführen, da das Feld "from" der SIP-Nachricht nicht richtig gefiltert werde. Über ein speziell adaptiertes SIP-Paket können Hacker-Tools das System angreifen.

State führt jedoch auch an, dass es normalerweise schwer sei, VoIP-Geräte über SIP zu attackieren. Das liege daran, dass die meisten Produkte über eine herstellerspezifische Architektur sowie ein spezielles Betriebssystem verfügen. Jedoch haben viele auch integrierte Webserver und diese wären mit einem Buffer-Overflow-Exploit zu knacken. Der Sicherheitsforscher hat den Fehler zunächst nur in dem Linksys-Gerät gefunden, glaubt jedoch, dass auch andere Produkte von dem Problem betroffen sein könnten.

Paul Henry, Vice President Technology Evangelism bei Secure Computing, meint, dass die Attacke einen wunden Punkt in aktueller Securitysoftware treffe, da die meisten Sicherheitsprodukte diese Art von Angriffen nicht überprüfen würden. Eine umfassende Lösung müsse in jedem Protokoll, das die Firewall passieren darf, nach schädlichen Scripts und Malware suchen. "Anwender öffnen mittlerweile nicht mehr jedes E-Mail-Attachment und sind auch vorsichtig, wenn sie unbekannte Websites besuchen. Diese neue Schwachstelle im VoIP-SIP-Protokoll zeigt uns jedoch, dass wir nun in der Web 2.0-Welt leben. Hier ist vieles lange nicht so sicher, wie wir glauben", so Henry. "Jeder, der eine VoIP Verbindung nutzt, sollte deshalb zusätzliche Sicherheitsmaßnahmen ergreifen." (pte)