GUI Exploit
Check Point warnt vor VoIP-Telefon-Angriffen über Interface-Schwachstelle
Fortune-500-Unternehmen bedroht
Die Sicherheitsforscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber Security-Lösungen, warnten bereits zu Beginn des November, dass VoiP-Telefon-Hacks zunehmen und bereits deutsche Unternehmen attackiert wurden . Nun haben Cyber-Kriminelle einen neuen Angriffsvekor entdeckt: Asterisk, einen großen Anbieter für digitale Kommunikation und Telefonie.
Die Sicherheitsforscher von Check Point warnen, dass Hacker über einen Interface-Exploit sich Zugriff auf die digitale Kommunikation von Unternehmen verschaffen können
Asterisk ist eines der beliebtesten Frameworks für Voice-over-Internet-Protocol (VoIP) und nutzt für die Verwaltung seiner Services das Open-Souce Web GUI Sangoma PBX. Viele der sogenannten Fortune-500-Unternehmen – das sind die umsatzstärksten US-Unternehmen je Geschäftsjahr laut dem Magazin Fortune, die zwei Drittel des BIP erwirtschaften – greifen auf Asterisk und Sangoma zurück. Speziell das Interface weist aber eine gefährliche Schwachstelle auf: CVE-2019-19006 , eine Lücke die es Angreifern erlaubt, Administrator-Zugang zum System zu erhalten, weil sie die Authentifizierung umgehen können. Hierfür schicken Hacker speziell zugeschnittene Datenpakete an den Server. Im Anschluss werden kodierte PHP-Dateien hochgeladen, die das kompromittierte System missbrauchen. Die Sicherheitsforscher von Check Point waren in der Lage, die Methodik der Hacker-Gruppe INJ3CTOR3 zu rekonstruieren und deren Masche aufzudecken.
Angriffsweg der INJ3CTOR3-Gruppe
Gefährlich ist dieser Angriffsweg deshalb, weil die INJ3CTOR3-Gruppe die Mittel und Wege käuflich anbietet. Somit erhalten weitere Kriminelle die Möglichkeit, Asterisk und Sangoma auszunutzen.
Uneingeschränkter Zugang zur Telefonie eines Unternehmens kann es den Angreifern zum Beispiel ermöglichen, auf Kosten des Unternehmens zu telefonieren, und daher gezielt kostenpflichtige Nummern anzurufen, die auf deren Konten fließen. Außerdem lassen sich natürlich sämtliche Gespräche abhören. Zudem können die Hacker die infizierten Systeme für andere Angriffe missbrauchen: Die Rechenleistung lässt sich heimlich für Kryptomining einsetzen oder es werden Angriffe auf andere Unternehmen gestartet, unter dem Deckmantel des kompromittierten Unternehmens – ohne dessen Wissen.