上下文警告在黑帽美国的VoIP战争
研究人员警告,安全团队正在努力与越来越多的互联网协议(VoIP)中脆弱的漏洞延期延期。
由于组织越来越多地转向VoIP和基于云的统一通信(UC)系统,以支持商业服务和公司通信,攻击表面正在迅速增长。
“对现代VoIP和UC安全缺乏了解意味着许多服务提供商和企业将自己带来风险,以威胁参与者对伯特网,恶意软件分配,越野,拒绝服务攻击和欺诈等攻击等攻击进行攻击的威胁参与者。根据Fatih Ozavci,一个具有上下文信息安全的管理顾问。
在拉斯维加斯的黑帽安全会议上,ozavci于8月4日结束,突出了主要的UC产品套件和消息传递平台的潜在漏洞。漏洞允许黑客绕过安全措施,将恶意内容注入消息传递,欺骗呼叫者身份和旁路计费以及不安全配置引起的问题。
“通过利用这些漏洞,攻击者可以取得未经授权访问客户系统或通信服务,例如会议和协作,语音邮件,SIP中继和即时消息,”Ozavci说。
他的黑色帽子演示介绍了UC消息传递,联合通信和协作服务的弱点,可用于获得未经授权访问UC环境和客户端系统的联系,以及通过信令协议和消息传递攻击客户端系统。
“这些攻击可用于危及使用协议和软件漏洞连接的客户端系统,”Ozavci表示,添加:“拨号计划,MISCONPD SIP中继,会议和网络基础设施也是高级攻击的主要目标。”
上下文是研究人员还研究了媒体传输协议,如语音呼叫,文件,桌面和演示共享的安全实时传输协议(SRTP)。
传输的媒体可以具有机密或敏感信息,这可以是PCI,COBIT或合规性要求的对象,例如有关交互式语音响应(IVR)服务或客户隐私信息的信用卡信息。
“由于加密和设计问题不安全,可以暴露和损害传输的媒体中的敏感信息,”Ozavci说。
为了帮助提高对这些VoIP和UC漏洞的认识,Ozavci开发了开源工具Viproxy和Viproy,可用于VoIP渗透测试。