Forscher des Fraunhofer SIT finden gravierende Sicherheitslücken in VoIP-Telefonen + Hacker können auch über Telefongeräte an sensible Daten und Dienste gelangen: Die meisten Unternehmen nutzen VoIP-Telefone, die ins Firmennetzwerk eingebunden sind. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt haben in diesen VoIP-Telefonen insgesamt 40 teils gravierende Schwachstellen gefunden.
Angreifer können über diese Lücken Gespräche abhören, das Telefon außer Betrieb setzen oder sich über Schwachstellen im Gerät weiteren Zugriff auf das Firmennetzwerk verschaffen. Die Hersteller der VoIP-Telefone haben die Schwachstellen mittlerweile geschlossen. Nutzern wird dringend empfohlen, die entsprechenden Updates der Geräte-Firmware einzuspielen. Weitere technische Details zu den Schwachstellen finden sich unter www.sit.fraunhofer.de/cve . Die Ergebnisse ihrer Untersuchungen haben die Forscher am Samstag auf der DEFCON vorgestellt, eine der weltweit größten Hackerkonferenzen.
Die Sicherheitsexperten des Fraunhofer SIT haben insgesamt 33 VoIP-Telefongeräte von 25 verschiedenen Herstellern auf Lücken und Schwachstellen geprüft. Dafür haben sie die webbasierten Benutzeroberflächen der Geräte untersucht, über die Administratoren die Telefone konfigurieren können. Von den Ergebnissen waren selbst die Sicherheitsexperten überrascht: „Wir hatten nicht erwartet, dass wir so viele derart kritische Lücken finden, da diese Geräte schon lange auf dem Markt sind und sie dementsprechend getestet und sicher sein müssten“, erklärt Stephan Huber, einer der an der Untersuchung beteiligten Forscher.
Eine Schwachstellenart war so schwerwiegend, dass es den Sicherheitsforschern gelungen ist, die komplette administrative Kontrolle über das VoIP-Telefon zu erlangen. „Das ist ein Sicherheitstotalausfall“, sagt Fraunhofer SIT-Wissenschaftler Philipp Roskosch, der ebenfalls an der Untersuchung beteiligt war. Hierüber könnten Angreifer auch andere Geräte manipulieren, die sich im selben Netzwerk befinden, wie weitere VoIP-Telefone, Rechner oder auch Produktionsmaschinen. Dieser Angriff war bei sieben Geräten möglich. Ein weiteres Angriffsszenario war eine Denial-of-Service-Attacke, die die VoIP-Telefone außer Gefecht setzt. Dies ist beispielsweise für Kundenhotlines, etwas von Banken oder Versicherungen, geschäftsschädigend.
Die Sicherheitsforscher haben alle Hersteller der untersuchten VoIP-Telefone über die gefundenen Schwachstellen informiert; diese haben alle reagiert und die Lücken geschlossen. Die Fraunhofer SIT-Experten raten deshalb allen Nutzern, die eigenen Geräte aktuell zu halten und auf Updates für die Geräte-Firmware zu achten. Weitere technische Details zu den untersuchten VoIP-Telefonen und den gefundenen Lücken finden sich im Internet auf www.sit.fraunhofer.de/cve .
Fachartikel
ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee
Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS
CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen
Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher
Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper
Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise
Aufkommende Trends in der externen Cyberabwehr
Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Aktueller Datenschutzbericht: Risiko XXL am Horizont
Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
