Kritische Löcher in Ciscos VoIP-Software

Das Sicherheitsunternehmen Internet Security Systems hat zwei Schwachstellen in der VoIP-Software von Cisco entdeckt.

Das Sicherheitsunternehmen Internet Security Systems (ISS) hat zwei Schwachstellen in der VoIP-Software (Voice over IP) von Cisco entdeckt. Die Lecks liegen im CallManager – einem Programmteil, der dazu dient, Anrufe zu initiieren und zu routen. Ein Loch kann von Hacker ausgenutzt werden, um Sprachdienste zum Absturz zu bringen. Das andere Leck erlaubt es, die Kontrolle über das System zu übernehmen. 

Die Schwachstellen seien “sehr schwerwiegend”, sagte Neel Mehta, Chef der ISS X-Force Advanced Research Group, dem Wall Street Journal. Sie erlaubten es einem Angreifer, das Herz der VoIP-Infrastruktur zu verletzten. Entdecke ein Hacker die Löcher, seien Angriffe “eine Frage von Stunden”.

Nach Angaben von Cisco und ISS wurden bislang keine Attacken registriert. Cisco stellte ein detailliertes Advisory online. ISS bietet Updates seiner Software an.

VoIP habe weniger mit unsicheren Implementierungen zu kämpfen, als mit Sicherheitsmängeln, die bereits in den VoIP-Protokollen lägen, sagte Mehta. Diese Mängel könne man jedoch durch ein Re-Design der VoIP-Infrastruktur und den zusätzlichen Einsatz von Sicherheitslösungen ausgleichen.