VoIP 的安全性開始關注了~...
思科發布安全瑕疵警告
CNET新聞專區:Marguerite Reardon 15/07/2005
思科公司(Cisco Systems)本周說,在產品中發現幾項可能引發阻斷服務攻擊(denial-of-service attacks)的安全弱點,若遭駭客利用,恐導致網路電話(IP telephony)網路為之癱瘓。
其中一項瑕疵出自於思科的CallManager軟體,是思科網路電話技術不可或缺的元件,用於通話顯示與導引。
思科12日表示,已針對這項弱點發布修補程式,可透過該公司網站下載。同時,Internet Security Systems也已發布能攔截攻擊的軟體,以協助客戶測試、安裝思科提供的修補程式。
利用新發現的弱點,駭客可能在所謂CallManager的重要過程中觸動記憶區溢位,進而造成阻斷服務攻擊的狀況,促使CallManager伺服器關閉並重新開機。一旦攻陷CallManager伺服器,駭客即可讓通話轉向、監聽電話,並且擅自存取內含思科VoIP(voice over Internet Protocol) 產品的網路和機器。
受影響的CallManager軟體包括CallManager 3.3版及更早的版本、4.0版與4.1版。思科發言人說,目前為止,尚未接到CallManager弱點已遭駭客利用的消息。
CallManager弱點不被視為「危急」,因為駭客必須從網路內部內部加以利用才能得逞,iDefense Labs經理Michael Sutton說。
VoIP技術允許企業透過資料網路傳輸語音訊息,有助於削減成本,且能提供員工更大的彈性,因此近年來使用率日益普及。Gartner預估,到2007 年,北美地區新安裝的電話系統中,97%會採用VoIP技術,或傳統技術與VoIP的混合體。Cisco宣稱已在全球各地售出大約500萬具VoIP電話。
但安全專家警告,VoIP雖然好用,但幕後的技術卻很複雜,通常安全性是一大顧慮。
Internet Security Systems尖端技術研究領隊Neel Mehta說:「因為VoIP軟體相對而言仍不成熟,因此安全性比其他電話解決方案來得弱。VoIP協定在設計上也有問題,可能為使用者帶來困擾。這些弱點尚未被駭客大量利用,但隨著VoIP的部署加速,所以逐漸成為愈來愈顯著的攻擊目標。」
思科今年5月也發布另一項可能造成網路電話系統停擺的安全弱點,與執行域名伺服器(DNS)協定的思科IP電話有關。DNS處理網域名轉化成IP位址的轉譯任務,部署在網際網路各個角落,以確定把IP封包傳送到合適的目的地。思科一發現該安全弱點後,隨即發布修補程式。
整體而言,Forrester Research分析師Elizabeth Hurrell說,VoIP網路比傳統資料網路更不安全,因為語言訊息傳輸不喜延遲,否則通話會斷斷續續的,所以用來檢查封包的傳統防火牆無用武之地。為改善這種問題,通常會開啟某些連接埠,但那也同時開啟遭到外來攻擊的可能性。
「許多公司不曉得VoIP有獨特的安全需求,」Hurrell說:「他們實在必須思索VoIP的安全問題。傳統的安全解決方案恐怕無法提供周全的防護。」
思科並且在13日宣布另外兩項產品的安全弱點,也可能有引發阻斷服務攻擊之虞。問題出在Cisco ONS 15216 OADM (Optical Add/Drop Multiplexer),其中處理telnet通信層的方式潛在安全漏洞。而保護伺服器與桌上電腦的安全軟體Cisco Security Agent,則可能被特製的IP封包滲透,造成裝置操作中斷、重新載入。這兩項瑕疵的修補程式可透過思科網站取得。(唐慧文)
