15.06.2020

von Philipp Roskosch, Fraunhofer-Institut für Sichere Informationstechnologie (SIT)

Wenn es um die IT-Sicherheit von Unter­nehmen geht, müssen auch VoIP-­Telefone als IT-Kompo­nenten in die Betrachtung einbezogen werden. Vor dem Hinter­grund einer aktuellen Unter­suchung beschreibt der Artikel Sicher­heits­schwächen, die in VoIP-­Telefonen gefunden wurden, stellt die damit verbundenen Risiken dar und gibt Hinweise zur Beurteilung sowie An­wen­dung des Qua­litäts­krite­riums »Sicher­heit«.

 

In der heutigen Zeit der Digitalisierung werden in nahezu allen Bereichen Systeme zunehmend vernetzt. Jüngste Cyberangriffe zeigen, wie sensibel aktuelle IT-Infrastrukturen sind und dass auch die Aufrechterhaltung des laufenden Betriebs einer Organisation unmittelbar von der sicheren IT abhängt. Die Herstellung des geforderten bzw. benötigten Sicherheitsniveaus bedarf stets eines individuell angepassten und zugleich umfassenden IT-Sicherheitskonzepts. Der vorliegende Beitrag beleuchtet Sicherheitsaspekte von VoIP-Telefonen als Komponenten aktueller IT-Infrastrukturen.

Das VoIP-Telefon als Angriffsziel

Entsprechend der technologischen Entwicklung werden zunehmend VoIP-Telefone in Unternehmen verwendet. Wenn diese Schwachstellen aufweisen bzw. nicht ausreichend geschützt sind, können sich aus einem erfolgreichen Angriff auf das Telefon unterschiedliche Gefahren ergeben. Wichtige Gefährdungsszenarien sind:

Spionage: Gewinnt ein Angreifer die Kontrolle über ein Telefon, so gelangt er an sensible und datenschutzrelevante Informationen, wie Telefonverzeichnisse oder auch Gesprächsdaten.

Denial of Service (DoS): Der Angreifer flutet das VoIP-Endgerät mit Anfragen und schafft es so, dessen Funktion stark einzuschränken oder ganz zu unterbinden. Fällt die Telefonie für eine Organisation (Krankenhaus, Bank, …) aus, so kann der praktische Schaden immens werden.

Proxy/Angriffsgateway: Je nach Netzwerkkonfiguration kann die Kontrolle über ein VoIP-Telefon lediglich das Mittel sein für weiter reichende Angriffe auf andere Netzwerkkomponenten. Firewalls und SBCs können somit umgangen werden.

Gebührenbetrug: Mit der Kontrolle über ein VoIP-Telefon oder auch das TK-System kann der Angreifer in kurzer Zeit unter Umständen zahlreiche hochpreisige, von Unternehmen nicht gewollte Telefonverbindungen erzeugen.

Beispielhafter Ablauf eines Angriffs

Angriffe können sehr unterschiedlich erfolgen und dabei auch kombiniert werden, um schrittweise tiefer in das Netz des Unternehmens einzudringen. In vielen derzeit bekannt gewordenen Fällen begann der Angriff mit einer Phishing-Mail (Bild 1). Diese soll den Adressaten animieren, auf einen Link zu klicken oder einen Anhang zu öffnen. Dadurch wird Schadcode auf einem Gerät im Netzwerk des Opfers ausgeführt. Ein solches Gerät kann ein VoIP-Telefon mit einer Schwachstelle sein. Diese wird ausgenutzt (Exploit), um eine Schadsoftware zu installieren, die nun auf Befehle vom Angreifer wartet. Ab diesem Moment kann der Angreifer das Gerät kontrollieren und weitere Angriffe auf ggf. andere Komponenten durchführen.

Bild 1 Ablauf eines Angriffs durch eine Phishing-Mail

 

VoIP-Hacking: Untersuchung von Endgeräten

Im Jahr 2019 haben die Sicherheitsforscher Stephan Huber und der Autor dieses Artikels am Fraunhofer SIT in Darmstadt die Sicherheit von marktüblichen VoIP-Telefonen evaluiert. In den 33 untersuchten Geräten (Bild 2) wurden insgesamt 40 teils gravierende Sicherheitslücken gefunden (Tabelle 1). Diese reichen von einfachen Problemen, die das Manipulieren der grafischen Oberfläche ermöglichen, bis hin zur kompletten Kompromittierung des Geräts. Insgesamt wurden zwölf Arten von Sicherheitsschwächen gefunden, von denen »Command Injection« mit sieben Befunden am häufigsten identifiziert wurde. Die erkannten Sicherheitslücken wurden den Herstellern gemeldet und inzwischen geschlossen. Die technischen Details sämtlicher Befunde sind auf der Website des Fraunhofer SIT einsehbar. Auf YouTube sind die Videoaufzeichnungen von zwei Vorträgen zu der Untersuchung veröffentlicht, die auf den Hacking-Konferenzen DEF CON 27 und 44con gehalten wurden. Ebenso wurden die Ergebnisse auf der VAF-Jahrestagung Technik und Service 2019 in Berlin vorgestellt. Die Untersuchung zeigt, dass VoIP-Telefone Schwachstellen besitzen können und dadurch wie andere IT-Komponenten einen Unsicherheitsfaktor einer IT-Infrastruktur darstellen können.

Bild 2 Testset des Fraunhofer SIT

Exemplarische Schwachstellen

Im Folgenden werden ausgewählte Schwachstellen schematisch beschrieben, um so die zugrunde liegenden Mechanismen exemplarisch zu veranschaulichen.

Cross Site Request Forgery (CSRF): sinngemäß eine Website-übergreifende Anfragefälschung. Ist beispielsweise ein Anwender auf einer unzureichend gesicherten Website eingeloggt, kann sich dies ein Angreifer zunutze machen und dem Opfer eine präparierte URL unterschieben. Durch Aufrufen der URL wird dann ohne Wissen des Anwenders Schadcode ausgeführt.

Bild 3 zeigt ein Beispiel aus der Untersuchung. Die URL der Webanwendung »Konfigurationsinterface des VoIP-Telefons« wurde mit dem Login-Befehl und dem gerätespezifischen Default-Passwort als Parametern ergänzt (rot). Nach Durchführung des Logins konnte dann ein SSH-Server gestartet werden (rot). Damit ist eine Situation hergestellt, in der ein Angreifer aus der Ferne weitere Befehle auf dem Telefon ausführen kann.

Bild 3 Beispiel eines CSRF-Angriffs auf ein VoIP-Telefon

 

Die Schwachstelle besteht im Kern darin, dass Konfigurationsparameter bzw. Login-Daten in der URL übergeben werden können bzw. sogar müssen. Das sollte grundsätzlich nicht zulässig sein. RFC 2616 beschreibt, wie HTTP-Methoden verwendet werden sollen, sodass CSRF nicht möglich ist. Zusätzlich können Anti-CSRF-Tokens zum Einsatz kommen. Mit diesen einfachen Methoden in der Entwicklung können CSRF-Angriffe verhindert werden.

Denial of Service (DoS): Der Angreifer flutet das VoIP-Endgerät (generell: einen Webserver) mit Anfragen und schafft es so, dessen Funktion stark einzuschränken oder ganz zu unterbinden. DoS-Attacken können unterschiedlich erfolgen. In der Untersuchung wurden valide Anfragen teils zufällig variiert und an die Testgeräte gesandt. Bild 4 zeigt eine URL mit einem Anführungszeichen (rot), welches nicht richtig verarbeitet werden kann. In Bild 5 ist eine Login-Anfrage abgebildet, die einen unerwarteten Parameter (rot) sendet. Die Geräte quittierten beide Anfragen mit einem direkten Neustart. Durch wiederholtes Senden nicht valider Anfragen kann ein Angreifer die VoIP-Telefone außer Betrieb setzen.

Das Testverfahren kommt auch für die Qualitätssicherung in der Entwicklung zum Einsatz. Durch automatisches Senden von variierten Anfragen (Fuzzing) wird die Robustheit der Software getestet. Software sollte bei Erkennen fehlerhafter Eingaben nicht mit Neustart reagieren, sondern mit einer generischen Fehlermeldung.

Bild 4 Durch Manipulation der URL (") wird ein Neustart ausgelöst.

 

Bild 5 Das Endgerät reagiert auf die Variation des Befehls »username« mit einem Neustart.

 

Remote Code Execution (RCE): bezeichnet Angriffe, bei denen aus der Ferne missbräuchlich Programme auf einem System ausgeführt werden. Häufig werden Eingaben im Web-Interface direkt an das Betriebssystem weitergereicht und bei unzureichender Filterung der Eingaben kann ein Angreifer Schadcode ausführen. Wichtige Mechanismen im Zusammenhang von RCE werden nachfolgend beschrieben.

Die Skizze in Bild 6 stellt das Einschleusen von Schadcode (Command Injection) schematisch dar. In der Untersuchung wurde der für den Ping-Befehl valide Parameter »IP-Adresse« mit zusätzlichem Text erweitert. Die Software mancher Geräte leitete die Eingaben ungefiltert an das Betriebssystem weiter. Handelt es sich bei dem Text um geschickt verpackten Schadcode, so führt das Betriebssystem diesen aus.

Bild 6 Schematischer Ablauf von Command Injection

 

Ebenso verwendeten manche der getesteten Geräte sicherheitskritische Funktionen, sogenannte »Banned Functions«, die mitunter schon seit den 1990er-Jahren nicht mehr als Best Practice in der Programmierung gelten und teilweise sehr sensibel bei besonders langen Eingaben wirken. Erwartet ein VoIP-Telefon die Eingabe einer IP-Adresse in einem Web-Interface, so ist es ggf. überfordert, wenn es einen Roman erhält. Es kommt zum Speicherüberlauf (Buffer Overflow). Ein Angreifer beeinflusst damit direkt die ausgeführten Befehle der CPU. Da das Web-Interface bei fast allen getesteten Modellen als Administrator ausgeführt wurde, ist eine solche Schwachstelle gleichbedeutend mit der kompletten Kompromittierung des Telefons.

Bei der Programmierung sollten keinesfalls sicherheitskritische Funktionen verwendet werden. Zudem muss sichergestellt werden, dass die Parametereingaben des Benutzers dem Format entsprechen, das für die Konfiguration des VoIP-Telefons vorgesehen ist. Beispielsweise wird für den Ping-Befehl die Eingabe einer IP-Adresse benötigt. Jede andere oder weitere Eingabe muss abgelehnt werden.

Sicherheit als Qualitätsmerkmal

Allein anhand des technischen Datenblatts eines VoIP-Telefons ist es schwierig und auch bestenfalls nur teilweise möglich, auf den Grad der Sicherheit zu schließen, den ein Gerät bietet. Das schwer zu fassende Qualitätsmerkmal »Sicherheit« lässt sich nicht vollständig quantifizieren und ist zudem im Vergleich zu anwendungsnahen Features wie »Full HD Touch Display« schwer zu vermarkten. Zur Beantwortung der Frage, ob ein Endgerät im späteren Betrieb höheren oder niedrigen Anforderungen der Sicherheit genügt, muss weiter ausgeholt werden. Grundsätzlich sind dafür mehrere Bereiche relevant. Dazu gehören zunächst die organisatorischen Maßnahmen, die in der Entwicklung ergriffen wurden, und die technischen Merkmale des Geräts. Darüber hinaus wird die Sicherheit in der Praxis auch von weiteren Faktoren mitbestimmt, wie Vertrauenswürdigkeit der Lieferkette, Installation, Wartung und Pflege sowie dem Betrieb selbst. Auf die einzelnen Bereiche wird im Folgenden eingegangen.

Organisatorische Maßnahmen in der Entwicklung

Um die Sicherheit eines IT-Produkts maßgeblich zu steigern bzw. zu gewährleisten, kann ein Hersteller verschiedene Maßnahmen im Entwicklungsprozess ergreifen, genauer gesagt: davor, währenddessen und danach. Je früher Sicherheitsaspekte berücksichtigt werden, desto robuster wird das IT-System respektive VoIP-Telefon. Hat ein Hersteller Maßnahmen durchgeführt, so wird dies dokumentiert und kann als Auswahlkriterium herangezogen werden.

Die nachfolgend kurz vorgestellten Maßnahmen sind analog zum Entwicklungsprozess geordnet, angefangen bei der Konzeption bis hin zum fertigen Produkt.

Gefahrenmodellierung: Vor der Entwicklung wird überlegt, in welchem Umfeld das spätere Produkt eingesetzt wird und welchen Sicherheitsanforderungen es genügen soll. Es werden potenzielle Gefahren und Angriffsvektoren zusammengetragen und entsprechende Schutzmaßnahmen erarbeitet. So können diese bei der Entwicklung von Beginn an berücksichtigt werden.

Architekturreview: Die Entwicklung eines Produktes startet in der Regel mit der Erstellung einer Architektur. Die Architektur eines VoIP-Telefons besteht aus verschiedenen Komponenten, die zum Teil selbst entwickelt werden oder auch aus Open-Source-Projekten oder von Drittanbietern stammen. In der Architektur können sicherheitskritische Aspekte berücksichtigt werden und z. B. fragile Schnittstellen abgesichert werden. Spätere Änderungen einer Architektur sind sehr aufwendig.

Codereview: Werden Komponenten vom Hersteller selbst entwickelt, kann der Quelltext auditiert werden. In diesem Prozess wird der Quelltext von geschultem Personal auf Schwachstellen untersucht. Diese können dann rechtzeitig behoben werden. Ebenso besteht die Möglichkeit, unsaubere Programmierpraktiken anzumerken und zu verbessern.

Penetrationstest: Der Sicherheitsanalyst nimmt die Rolle eines Angreifers ein und versucht, das fertige Produkt anzugreifen. Ein Zugriff auf Quelltext und andere Interna ist nicht gegeben. Dadurch ist die Testdurchführung realitätsnah, allerdings auch weniger tiefgründig. Ein Penetrationstest sollte schwerwiegende Schwachstellen aufdecken können, sodass vor dem Inverkehrbringen des Produkts noch Korrekturmaßnahmen ergriffen werden können.

Technische Merkmale des Geräts

Die zuvor angesprochenen sicherheitsrelevanten Eigenschaften wie saubere Programmierung oder robuste Architekturen können in der Regel nicht anhand der technischen Beschreibung erkannt und beurteilt werden. Darüber hinaus existieren weitere und besser beobachtbare technische Eigenschaften, die zur Sicherheit eines VoIP-Telefons beitragen.

Updates: Selbst mit allen organisatorischen Maßnahmen in der Entwicklung kann nicht verhindert werden, dass später ggf. eine Sicherheitslücke in einem VoIP-Telefon gefunden wird. Dann muss die Möglichkeit gegeben sein, diese zu beheben. Im Idealfall erfolgt dies sehr zeitnah, per remote und je nach Administrationsvorgaben automatisch. Die Implementierung eines robusten Update-Prozesses ist für einen Hersteller eine hochgradig nicht triviale Aufgabe und darum ein gutes Indiz dafür, wie ernst Sicherheit genommen wird. Ebenso sollte der gebotene Supportzeitraum berücksichtigt werden: Ein günstiges Modell zahlt sich nicht aus, wenn nach kurzer Zeit keine Updates mehr bereitgestellt werden.

SIP-Übertragungssicherheit: Im SIP-Umfeld gibt es verschiedene Ansätze für Kommunikationssicherheit (z. B. SSIP, TLS). Das VoIP-Telefon sollte die je nach Sicherungskonzept benötigten Protokolle unterstützen und die Integration in eine vorgegebene Public-Key-Infrastruktur (PKI) ermöglichen.

Deaktivierung von Schnittstellen: Für die Administration eines VoIP-Telefons gibt es teilweise mehrere Schnittstellen. Manche davon wie Telnet sind weniger gut abgesichert oder schlecht gewartet. Werden diese für den Betrieb nicht benötigt, sollte es möglich sein, diese abzuschalten. Ein Dienst, der nicht erreichbar ist, kann nicht gehackt werden.

Audit-Protokollierung: In einem Audit-Protokoll werden alle Aktivitäten auf dem Gerät protokolliert und einer Person zugeordnet. Das schafft Nachvollziehbarkeit von Änderungen an der Konfiguration und unterstützt die Detektion einer Kompromittierung. Im Fall eines Cyberangriffs kann so rekonstruiert werden, wie es zu dem Vorfall kam. Außerdem kann die Protokollierung hilfreich sein, um bisher erfolglose Angriffe zu detektieren und Gegenmaßnahmen zu ergreifen, bevor es zu einem erfolgreichen Angriff kommt.

Standardpasswort: Muss das Passwort für das Web-Interface und ggf. für eine Voicebox bei erster Benutzung zwingend gesetzt werden und eine geeignete Passwort-Policy eingehalten werden, so werden dadurch simple Angriffe mittels Standard- oder Trivialpasswörtern verhindert oder zumindest erschwert.

HTTPS: Ist das Web-Interface per HTTPS erreichbar und wird ein gültiges Zertifikat verwendet, so ist das positiv. Unverschlüsselte HTTP-Endpunkte stellen ein erhebliches Sicherheitsrisiko dar.

Funktionsumfang: Je weniger Features ein VoIP-Telefon besitzt, desto mehr Ressourcen stehen für die korrekte/sichere Implementierung der Basisfunktionalität zur Verfügung. Je weniger Features vorhanden sind, desto geringer ist die Angriffsfläche. Darin liegt zum einen ein grundsätzliches Dilemma zwischen Anwendungsvielfalt/-komfort und Sicherheit. Zum anderen ergibt sich daraus in der Praxis die Aufgabe, die für den Einsatzzweck möglichst optimale Balance zu finden. Je größer der Funktionsumfang, umso höher sind die Anforderungen an die Sicherheitsmechanismen.

Sicherheit in der Praxis

Wurde ein Modell ausgewählt, das im Rahmen des individuell zu erstellenden Konzepts der Informationssicherheit den Anforderungen des Unternehmens bzw. der Organisation genügt, so muss das VoIP-Telefon noch erfolgreich in das Unternehmen gebracht werden. Wichtige Maßnahmen, die den praktischen Einsatz möglichst sicher gestalten, werden nachfolgend ohne Anspruch auf Vollständigkeit skizziert.

Vertrauenswürdigkeit der Lieferkette

Bei der Beschaffung sollte darauf geachtet werden, dass der Zulieferer bzw. die Zuliefererkette vertrauenswürdig ist. Geistiges Eigentum, Informationen und Daten sind in der heutigen Zeit wertvolle Güter. Es ist nicht abwegig, dass ein Angreifer als Anbieter von VoIP-Telefonen auftritt, um kompromittierte Geräte (z. B. mit »Backdoors«) in Verkehr zu bringen und letztlich in Unternehmen zu platzieren. Der günstigste Anbieter ist nicht unmittelbar der beste.

Installation

Ein Gerät muss nach Auslieferung installiert und konfiguriert werden. Hierbei werden weitere Weichenstellungen für den sicheren Betrieb vorgenommen. Zu den wichtigen Maßnahmen gehören: Das Standardpasswort möglichst schnell ändern. Die Firmware möglichst schnell auf den neusten Stand bringen. Falls möglich, automatische Updates aktivieren. Nicht gebrauchte Schnittstellen und Funktionen abschalten. PKI entsprechend anbinden und die Konfiguration so wählen, dass Zertifikate überprüft werden. Das gilt sowohl für SIP-Kommunikation als auch Update-Server und Provisionierung. VoIP-Telefone im Netzwerk separieren, z. B. in einem eigenen VLAN.

Wartung und Pflege

Mit einer auf Sicherheit bedachten Produktauswahl sowie Telefon- und Netzwerkkonfiguration ist die Grundlage geschaffen. Im Anschluss unterstützen qualifizierte Wartung und Pflege maßgeblich den sicheren Betrieb. Bei einer angemessenen Netzwerkseparierung sind die VoIP-Telefone in einem eigenen Netzwerk platziert und im besten Fall ist die Administrationsschnittstelle nur von wenigen Personen erreichbar. Es sollte klar festgelegt sein, wie die Geräte administriert werden. Wird von extern administriert, ermöglicht ein Audit-Protokoll die Nachvollziehbarkeit von Änderungen und ggf. herauszufinden, woher ein Angriff stammte. Wenn Updates manuell eingespielt werden müssen, muss dies so bald wie möglich passieren. Es sollten gezielt die Informationskanäle der Hersteller genutzt werden, um möglichst schnell reagieren zu können. Gibt es keine Möglichkeit, vom Hersteller informiert zu werden, sollten die Quellen neuer Firmware-Versionen automatisiert auf die Verfügbarkeit neuer Versionen gescannt werden. Bringt eine neue Firmware-Version neue Sicherheitsmechanismen mit, sollten diese auf Anwendbarkeit überprüft und wenn möglich eingesetzt werden. Das gilt insbesondere für die Kommunikationssicherheit und das Zertifikatshandling des SIP.

Betrieb

Um einen möglichst sicheren Betrieb von VoIP-Telefonen zu gewährleisten, darf keinesfalls der »Faktor Mensch« vernachlässigt werden. Mitarbeiter sollten zu wichtigen Themen sensibilisiert werden, wie dem sicheren Umgang mit Nutzer-Passwörtern oder der Gefährdung durch Phishing-Mails. Schlussendlich bestimmt die Unternehmensleitung, mit welchem Stellenwert und welcher Nachhaltigkeit die Informations- bzw. IT-Sicherheit im Unternehmen versehen werden.

Zusammenfassung

Cybersicherheit ist ein wesentlicher Faktor in modernen Unternehmen. Diese ist nur effektiv umsetzbar, wenn sie in allen Bereichen der ITK-Infrastruktur berücksichtigt wird. Darunter fällt auch jedes einzelne VoIP-Telefon, wie die Untersuchung des Fraunhofer SIT gezeigt hat. In diesem Artikel wurden exemplarisch Angriffsmechanismen beschrieben und organisatorische Maßnahmen sowie technische Merkmale dargestellt, die bei der Auswahl eines möglichst sicheren VoIP-Telefons helfen können. Ebenso wurden Empfehlungen gegeben, wie der Lebenszyklus von der Beschaffung über die Installation bis zur Wartung und Pflege abgesichert werden kann. Eine absolute Sicherheit gibt es nicht. Cyberangriffe können mit den genannten Maßnahmen aber maximal erschwert werden. Im Zweifel ist es einfacher, Angriffe zu verhindern, als den Schaden im Nachhinein zu reparieren.

Zum Autor: