Schwachstellen in VoIP-Produkten

Insgesamt entdeckte VoIPshield Systems 29 verschiedene Sicherheitslücken im Avaya Communication Manager 3.1x. Diese könnten von Angreifern ausgenützt werden, um Angriffe von aussen auszuführen, Programme abstürzen zu lassen oder sich unbefugten Zugang zu verschaffen. Im Cisco Unified Communications Manager (Version 5.x sowie 6.x) und Call-Manager 4.x fand die Sicherheitsspezialistin insgesamt zwölf Schwachstellen, die zu ähnlichen Problemen führen könnten. In einigen Nortel-Geräten wurden ebenfalls Anfälligkeiten aufgespürt. Nortels Communications Server 1000 4.50.x, Multimedia Communications Server 5100 3.x, SIP und Multimedia-PC-Client 4.x beherbergten insgesamt vier Schwachstellen.

Berichten zufolge erklärte Avaya, dass dem Unternehmen die Probleme bekannt waren. An Kunden sollen daher Verhaltensmaßnahmen und Service-Pack-Updates ausgegeben worden sein. Laufende Updates und Service-Packs sind laut eines Sprechers von Avaya auch weiterhin auf der Support-Webseite des Herstellers verfügbar. Cisco stellt angeblich ebenfalls kostenlose Software-Updates für Kunden mit Service-Verträgen bereit.

Laut VoIPshield-Chef Rick Dalmazzi wurden Avaya, Cisco und Nortel für die Anfälligkeitstests ausgewählt, weil sie den grössten Teil der IP-PBX-Verkäufe in Nordamerika ausmachen. In der nächsten Runde möchte das Unternehmen Microsoft unter die Lupe nehmen. Die Ergebnisse der Untersuchungen werden in etwa vier Monaten erwartet. VoIPshield Systems arbeitet an ,,Intrusion-Detection"-Systemen (IDS) für Voice over IP und testet auf Sicherheitslücken in VoIP-Software.