Aktuelles, Branche - geschrieben von dp am Mittwoch, August 14, 2019 17:41 - noch keine Kommentare
Fraunhofer SIT deckte Sicherheitslücken in VoIP-Telefonen auf
Hersteller haben Schwachstellen mittlerweile geschlossen
[datensicherheit.de, 14.08.2019] Hacker können offenbar auch über Telefongeräte an sensible Daten und Dienste gelangen, denn die meisten Unternehmen nutzen VoIP-Telefone, die ins Firmennetzwerk eingebunden sind. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt haben nach eigenen Angaben in diesen VoIP-Telefonen „insgesamt 40 teils gravierende Schwachstellen gefunden“.
SIT empfiehlt Nutzern, die entsprechenden Updates der Geräte-Firmware einzuspielen
SIT-Forscher stellten Erkenntnisse am 10. August 2019 auf der „DEFCON“ vor
Angreifer könnten über diese Lücken Gespräche abhören, das Telefon außer Betrieb setzen oder sich über Schwachstellen im Gerät weiteren Zugriff auf das Firmennetzwerk verschaffen. Die Hersteller der VoIP-Telefone haben die Schwachstellen aber laut SIT mittlerweile geschlossen.
„Nutzern wird dringend empfohlen, die entsprechenden Updates der Geräte-Firmware einzuspielen.“ Die Ergebnisse ihrer Untersuchungen hätten die SIT-Forscher am 10. August 2019 auf einer der weltweit größten Hacker-Konferenzen, der „DEFCON“, vorgestellt.
Getestete Geräte schon lange auf dem Markt
Die SIT-Sicherheitsexperten haben demnach „insgesamt 33 VoIP-Telefongeräte von 25 verschiedenen Herstellern auf Lücken und Schwachstellen geprüft“. Dafür hätten sie die webbasierten Benutzeroberflächen der Geräte untersucht, über welche Administratoren die Telefone konfigurieren könnten.
Von den Ergebnissen seien selbst die Sicherheitsexperten überrascht gewesen: „Wir hatten nicht erwartet, dass wir so viele derart kritische Lücken finden, da diese Geräte schon lange auf dem Markt sind und sie dementsprechend getestet und sicher sein müssten“, sagt Stephan Huber, einer der an der Untersuchung beteiligten Forscher.
Denial-of-Service-Attacke könnte VoIP-Telefone außer Gefecht setzen
Eine Schwachstellenart sei so „schwerwiegend“, dass es den Sicherheitsforschern gelungen sei, „die komplette administrative Kontrolle über das VoIP-Telefon zu erlangen“. Dies sei „ein Sicherheitstotalausfall“, so der ebenfalls an der Untersuchung beteiligte SIT-Wissenschaftler Philipp Roskosch. Hierüber könnten Angreifer auch andere, im selben Netzwerk befindliche Geräte manipulieren, wie weitere VoIP-Telefone, Rechner oder auch Produktionsmaschinen. Dieser Angriff sei bei sieben Geräten möglich gewesen. Ein weiteres Angriffsszenario sei eine Denial-of-Service-Attacke, um die VoIP-Telefone außer Gefecht zu setzen. Dies sei beispielsweise für Kunden-Hotlines, etwas von Banken oder Versicherungen, geschäftsschädigend.
Die Sicherheitsforscher hätten alle Hersteller der untersuchten VoIP-Telefone über die gefundenen Schwachstellen informiert – „diese haben alle reagiert und die Lücken geschlossen“. Die SIT-Experten raten deshalb allen Nutzern, „die eigenen Geräte aktuell zu halten und auf Updates für die Geräte-Firmware zu achten“.
Weitere Informationen zum Thema:
Fraunhofer SIT
CVE-Einträge, Security Advisories und Bulletins / Auflistung von Schwachstellen und Sicherheitslücken
datensicherheit.de, 12.08.2019
Ransomware: Auch digitale Spiegelreflex-Kameras anfällig
datensicherheit.de, 11.09.2018
Fraunhofer SIT zur Fälschung von Webzertifikaten
datensicherheit.de, 15.11.2012
Grundsteinlegung für Erweiterungsbau des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren