• IT-Karriere:
  • Services:

RTP Bleed: Mit Asterisk-Bug Telefonate belauschen

Ein Bug in der IP-Telefonielösung Asterisk ermöglicht Angreifern, Telefonate mitzuhören. Das Problem liegt in der zugrundeliegenden RTP-Implementierung. Ein erster Patch ist da, aber noch fehlerhaft.

Artikel veröffentlicht am ,
Ein Bug in Asterik kann zum Belauschen genutzt werden.
Ein Bug in Asterik kann zum Belauschen genutzt werden. (Bild: rtpbleed.com)

Eine Sicherheitslücke im IP-Telefonsystem Asterisk ermöglicht Angreifern, Telefonate zu belauschen. Das Problem tritt auf, wenn Asterisk in einer Nat-Umgebung genutzt wird. Es gibt einen ersten Patch, der selbst aber noch fehlerhaft ist. Angreifer müssen sich nicht in einer Man-In-The-Middle-Position befinden, um die Sicherheitslücke auszunutzen. Neben Asterisk selbst soll auch RTPProxy betroffen sein.

Stellenmarkt
  1. Medienzentrum Pforzheim-Enzkreis, Pforzheim
  2. EGS-plan Ingenieurgesellschaft für Energie,- Gebäude- und Solartechnik mbh, Stuttgart

Der Fehler liegt im Realtime-Transport-Stack (RTP). Wird dieser in einer Nat-Umgebung verwendet, können Angreifer die IP-Adresse der Quelle erfahren und die gesendeten Pakete an einen eigenen Server spiegeln. So könnten einzelne Sessions mitgeschnitten werden.

Angreifer können mithören

Die Entdecker Klaus Peter Junghanns und Sandro Gauci schreiben: "Die Schwachstelle kann ausgenutzt werden, wenn eine aktive Verbindung besteht und RTP über einen Proxy läuft. Um die Sicherheitslücke auszunutzen, muss der Angreifer ein RTP-Paket an den Asterisk-Server an einen der für den Empfang RTP vorgesehenen Ports senden". Wenn das Ziel verwundbar sei, würde der Asterisk-Server Pakete der aktuellen Verbindung an den Angreifer senden. Der Inhalt dieser Pakete kann dann als Audiodatei wiederhergestellt werden.

Betroffen sind die Asterisk-Versionen mit den Versionsnummern 11.x, 13.x, 14.x und die zertifizierten Versionen 11.6 und 11.3 Ein Patch existiert für alle Versionen. Das Problem wird damit noch nicht vollständig behoben, das Zeitfenster für einen erfolgreichen Angriff soll aber auf wenige Millisekunden begrenzt werden. Nach Angaben von The Register ist der Patch für eine Race-Condition anfällig und muss demnach noch einmal nachgebessert werden. Die Entdecker der Sicherheitslücke empfehlen Asterisk, wenn möglich, nicht mit der Option nat=yes zu nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 79€ (Bestpreis!)
  2. 79€ (Bestpreis!)
  3. (u. a. 65UM7100PLA für 689€, 49SM8500PLA für 549€ und 75SM8610PLA Nanocell für 1.739€)
  4. 89,90€ + Versand (Vergleichspreis 135,77€ + Versand)

kapejod 06. Sep 2017

Der Artikel ist ziemlich weit weg vom Advisory. Hier ist der Link zum Advisory: https...


Folgen Sie uns
       


Star Wars Jedi Fallen Order angespielt

In Star Wars Jedi Fallen Order kämpft der Spieler als junger Jedi-Ritter gegen das schier übermächtige Imperium.

Star Wars Jedi Fallen Order angespielt Video aufrufen
Mitsubishi: Satelliten setzen das Auto in die Spur
Mitsubishi
Satelliten setzen das Auto in die Spur

Mitsubishi Electric arbeitet am autonomen Fahren. Dafür betreibt der japanische Mischkonzern einigen Aufwand: Er baut einen eigenen Kartendienst sowie eine eigene Satellitenkonstellation auf.
Ein Bericht von Dirk Kunde


    Staupilot: Der Zulassungsstau löst sich langsam auf
    Staupilot
    Der Zulassungsstau löst sich langsam auf

    Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
    Ein Bericht von Friedhelm Greis

    1. San José Bosch und Daimler starten autonomen Taxidienst
    2. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
    3. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte

    Galaxy Fold im Test: Falt-Smartphone mit falschem Format
    Galaxy Fold im Test
    Falt-Smartphone mit falschem Format

    Samsung hat bei seinem faltbaren Smartphone nicht nur mit der Technik, sondern auch mit einem misslungenen Marktstart auf sich aufmerksam gemacht. Die zweite Version ist deutlich besser geglückt und aufregend in ihrer Neuartigkeit. Nur: Wozu braucht man das Gerät?
    Ein Test von Tobias Költzsch

    1. Faltbares Smartphone Samsung verkauft eine Million Galaxy Fold
    2. Samsung Galaxy Fold übersteht weniger Faltvorgänge als behauptet

      •  /