Aktuelles, Branche - geschrieben von dp am Mittwoch, August 14, 2019 17:41 - noch keine Kommentare
Fraunhofer SIT deckte Sicherheitslücken in VoIP-Telefonen auf
Hersteller haben Schwachstellen mittlerweile geschlossen
[datensicherheit.de, 14.08.2019] Hacker können offenbar auch über Telefongeräte an sensible Daten und Dienste gelangen, denn die meisten Unternehmen nutzen VoIP-Telefone, die ins Firmennetzwerk eingebunden sind. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben nach eigenen Angaben in diesen VoIP-Telefonen „insgesamt 40 teils gravierende Schwachstellen gefunden“.
SIT empfiehlt Nutzern, die entsprechenden Updates der Geräte-Firmware einzuspielen
SIT-Forscher stellten Erkenntnisse am 10. August 2019 auf der „DEFCON“ vor
Angreifer könnten über diese Lücken Gespräche abhören, das Telefon außer Betrieb setzen oder sich über Schwachstellen im Gerät weiteren Zugriff auf das Firmennetzwerk verschaffen. Die Hersteller der VoIP-Telefone haben die Schwachstellen aber laut SIT mittlerweile geschlossen.
„Nutzern wird dringend empfohlen, die entsprechenden Updates der Geräte-Firmware einzuspielen.“ Die Ergebnisse ihrer Untersuchungen hätten die SIT-Forscher am 10. August 2019 auf einer der weltweit größten Hacker-Konferenzen, der „DEFCON“, vorgestellt.
Getestete Geräte schon lange auf dem Markt
Die SIT-Sicherheitsexperten haben demnach „insgesamt 33 VoIP-Telefongeräte von 25 verschiedenen Herstellern auf Lücken und Schwachstellen geprüft“. Dafür hätten sie die webbasierten Benutzeroberflächen der Geräte untersucht, über welche Administratoren die Telefone konfigurieren könnten.
Von den Ergebnissen seien selbst die Sicherheitsexperten überrascht gewesen: „Wir hatten nicht erwartet, dass wir so viele derart kritische Lücken finden, da diese Geräte schon lange auf dem Markt sind und sie dementsprechend getestet und sicher sein müssten“, sagt Stephan Huber, einer der an der Untersuchung beteiligten Forscher.
Denial-of-Service-Attacke könnte VoIP-Telefone außer Gefecht setzen
Eine Schwachstellenart sei so „schwerwiegend“, dass es den Sicherheitsforschern gelungen sei, „die komplette administrative Kontrolle über das VoIP-Telefon zu erlangen“. Dies sei „ein Sicherheitstotalausfall“, so der ebenfalls an der Untersuchung beteiligte SIT-Wissenschaftler Philipp Roskosch. Hierüber könnten Angreifer auch andere, im selben Netzwerk befindliche Geräte manipulieren, wie weitere VoIP-Telefone, Rechner oder auch Produktionsmaschinen. Dieser Angriff sei bei sieben Geräten möglich gewesen. Ein weiteres Angriffsszenario sei eine Denial-of-Service-Attacke, um die VoIP-Telefone außer Gefecht zu setzen. Dies sei beispielsweise für Kunden-Hotlines, etwas von Banken oder Versicherungen, geschäftsschädigend.
Die Sicherheitsforscher hätten alle Hersteller der untersuchten VoIP-Telefone über die gefundenen Schwachstellen informiert – „diese haben alle reagiert und die Lücken geschlossen“. Die SIT-Experten raten deshalb allen Nutzern, „die eigenen Geräte aktuell zu halten und auf Updates für die Geräte-Firmware zu achten“.
Weitere Informationen zum Thema:
Fraunhofer SIT
CVE-Einträge, Security Advisories und Bulletins / Auflistung von Schwachstellen und Sicherheitslücken
datensicherheit.de, 12.08.2019
Ransomware: Auch digitale Spiegelreflex-Kameras anfällig
datensicherheit.de, 11.09.2018
Fraunhofer SIT zur Fälschung von Webzertifikaten
datensicherheit.de, 15.11.2012
Grundsteinlegung für Erweiterungsbau des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt
Aktuelles, Branche, Experten - Apr. 18, 2025 11:33 - noch keine Kommentare
MITRE CVE Program: Abschaltung verhindert
weitere Beiträge in Experten
- KI-Training mit persönlichen Daten: Meta startet im Mai 2025
- Beziehungsende: Jeder Achte verabschiedet sich mit Ghosting
- eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA
- Der Web-Tatort: Cyber-Mobbing kann junge Menschen krank machen
- Windows 10: BSI empfiehlt Upgrade oder Wechsel des Betriebssystems nach Support-Ende
Aktuelles, Branche, Experten - Apr. 18, 2025 11:33 - noch keine Kommentare
MITRE CVE Program: Abschaltung verhindert
weitere Beiträge in Branche
- MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025
- DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur
- Luftfahrt-Infrastruktur unter Druck: Flugreisen in den Osterferien erhöhen Herausforderungen
- McAfee warnt: Betrüger nehmen gerne junge Urlauber ins Visier
- eco kommentiert AI Continent Action Plan der EU-Kommission
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren