Hacker nutzen ungepatchte VoIP-Lücken für Angriffe auf Unternehmen

Hacker haben die VoIP-Telefonsysteme von rund 1200 Unternehmen in 20 Ländern kompromittiert. Opfer finden sich laut Check Point unter anderem in den Niederlanden, Belgien, den USA und Deutschland – mehr als die Hälfte der Betroffenen kommt jedoch aus Großbritannien. Bei ihren Angriffen setzen die Cyberkriminellen eine Sicherheitslücke, für die seit Monaten ein Update vorliegt.

Die Schwachstelle mit der Kennung CVE-2019-19006 steckt in der freien Telefonsoftware Asterisk sowie der VoIP-Software des kanadischen Anbieters Sangoma. Sie erlaubt einen Zugriff aus der Ferne ohne Eingabe von Anmeldedaten.

Ein Fix steht bereits seit Ende 2019 zur Verfügung. Viele Unternehmen haben es seitdem jedoch versäumt, ihre VoIP-Systeme zu aktualisieren – was Cyberkriminelle nun zu ihrem Vorteil nutzen.

„Bei der Schwachstelle handelt es sich um einen Fehler bei der Authentifizierung, und die Schwachstelle ist öffentlich zugänglich. Nach der Ausnutzung haben die Hacker administrativen Zugriff auf das VoIP-System, wodurch sie dessen Funktionen kontrollieren können“, sagte Derek Middlemiss, Security Evangelist bei Check Point. Ein Angriff sei zudem nur zu erkennen, falls man gezielt nach Attacken auf das Sicherheitsleck suche.

Unter anderem ist es den Hackern möglich, mit einem kompromittierten System unbemerkt Premium-Nummern anzurufen, mit denen die Cyberkriminellen Einnahmen generieren können – zu Lasten des angegriffenen Unternehmens. Darüber hinaus werden der Analyse von Check Point zufolge die Zugänge auch versteigert, um beispielsweise andere Cyberangriffe zu starten und beispielsweise Opfer abzuhören.

Die Forscher schließen auch nicht aus, dass ein gehacktes VoIP-System benutzt werden kann, um in andere Teile eines Unternehmensnetzwerks einzudringen und dort Anmeldedaten zu stehlen oder Malware einzuschleusen. „Das hängt davon ab, wie der Server konfiguriert und mit dem Rest des Firmennetzwerks verbunden ist“, so Middlemiss weiter.

Der Forscher rät Unternehmen, verfügbare Sicherheitspatches unverzüglich einzuspielen. Zudem sollten Unternehmen voreingestellte Nutzernamen und Passwörter ändern und regelmäßig ihre Telefonrechnungen auf ungewöhnliche Anrufe kontrollieren.