News

Sicherheitsleck kann Asterisk lahm legen

Internet Security Systems hat eine Sicherheitslücke im VoIP-Protokoll IAX2 entdeckt, dass Denial of Service-Attacken möglich macht.

18.07.2006, 14:09 Uhr
Notebook© Roman Hense / Fotolia.com

Internet Security Systems (ISS) hat eine Sicherheitslücke im Inter-Asterisk eXchange Protokoll der Version 2 (IAX2) entdeckt, die Denial of Service-Attacken (DoS) auf VoIP-Netzwerke möglich macht. IAX2 wird von Asterisk zum Verbindungssetup und zur Gesprächsübertragung genutzt. Das Sicherheitsleck macht es möglich, die Telefonanlage (PBX = Private Branch Exchange) mit Anfragen zu überfluten, so dass sie nicht mehr in der Lage ist, neue Telefonate zu behandeln und der komplette Service lahm gelegt wird.
Anfragen-Überlast provozieren
Von der Service-Attacke können Umgebungen betroffen sein, die mit Asterisk PBX arbeiten, aber auch IAX-zu-Festnetz Gateways, wodurch die Telefonservices zahlreicher Nutzer betroffen wären. Die betroffenen Versionen sind Asterisk PBX 1.2.9 und früher. Jedoch können auch weitere Versionen betroffen sein, Asterisk-Nutzer sollten sich daher beim Händler erkundigen. Wird der Asterisk-PBX mit nicht authentifizierten Gesprächsanfragen überlastet, kann der Server keine weiteren Anfragen bearbeiten. Bestenfalls bedeutet das Einbußen bei der Internet-Übertragung, schlimmstenfalls fällt die ganze Anbindung vorübergehend aus. Die dazu benötigte Menge an Requests kann laut ISS problemlos von einem einzigen Host generiert werden. Darüber hinaus ist es möglich, jede Anfrage mit einer anderen, gefälschten IP-Adresse (Spoofing) zu versehen. So ist es weder möglich, die Quelle des Angriffs zu lokalisieren oder die Anfragen der Attacke zu filtern.
Default-Zugänge löschen
Um die DoS-Attacke durchzuführen, brauchen Angreifer lediglich einen gültigen Benutzernamen für den Zugriff auf den PBX. Häufig enthalten die Standard-Konfigurationsdateien bei Asterisk PBX Default-Zugänge, die kein Passwort abfragen. Anwender sollten daher sicherstellen, dass der PBX keine Accounts eingestellt hat, die kein Passwort verlangen. Die Gefahr eines DoS-Angriffs kann laut ISS wesentlich reduziert werden, wenn kein Account ohne Passwort zugelassen wird und die Zugänge mit MD5 (Message Digest Algorithm 5) oder stärker authentifizieren. In der Version 1.2.10 implementiert Asterisk zudem eine "maxauthreq"-Konfigurationsoption, die nur eine bestimmte Anzahl simultaner unauthorisierter Anfragen an einen einzelnen Nutzer zulassen. Weitere Tipps erhalten Betroffene online bei ISS.

(Aleksandra Leon)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang