Etliche Videokonferenzsysteme sind ungeschützt über das Internet erreichbar, wie der Sicherheitsexperte HD Moore im Laufe einer dreimonatigen Untersuchung festgestellt hat. Moore hat rund drei Prozent aller IP-Adressen abgescannt und dabei 250.000 Systeme entdeckt, die das von Videokonferenzsystemen eingesetzte H.323-Protokoll nutzten. Davon waren fast 5000 so konfiguriert, dass sie eingehende Anrufe automatisch annehmen – vor allem Geräte des Herstellers Polycom, der die meisten Modelle laut dem Bericht nach wie vor mit aktivierter Auto-Annahme ausliefert.
(http://www.heise.de/imgs/18/7/6/1/4/3/7/8ceb2c43b230bbc1.png)
In den Web-Oberflächen fand HD Moore
Adressbücher mit weiteren Unternehmen,
die er ebenfalls ungefragt anzapfen konnte
Bild: Rapid7
Der Sicherheitsexperte bekam so Einblick in zahlreiche Vorstandsetagen, Anwaltskanzleien sowie Räumlichkeiten von Risikokapitalgebern und Forschungseinrichtungen. Ein gefundenes Fressen für Industriespione. Dabei bekam er eine beachtliche Ton- und Bildqualität geboten. In vielen Fällen konnte er die Kameras fern steuern, um etwa ein Passwort auf einem sechs Meter entfernten Zettel nah genug heranzuzoomen, um es lesen zu können. Es gelang dem Experten zudem, eingegebene Passwörter durch das Filmen der Tastatur zu rekonstruieren (Shoulder Surfing).
Nach Angaben des Experten haben viele Firewalls Probleme mit dem H.323-Protokoll, weshalb Admins den Videokonferenzsystemen schlicht eine von außen erreichbare IP zuweisen. Viele der Systeme seien nur unzureichend auf diese Situation vorbereitet; Web-Oberflächen, Telnet-Zugänge und weitere Dienst schlecht gesichert.
Durch die Web-Oberflächen schlecht gesicherter Konferenzsysteme ist Moore nach eigenen Angaben sogar gelungen, sich auf die eigentlich ausreichend geschützten Systeme anderer Unternehmen weiter zu hangeln: Laut dem Bericht konfigurieren Unternehmen ihre Konferenzssysteme oft so, dass sie Anrufe von bestimmten Gegenstellen automatisch annehmen. Moore hat von einem schlecht gesicherten System aus weitere Gegenstellen angerufen, die dem vom ihm genutzten System vertrauten. Die IPs der Gegenstellen fand er im Adressbuch, das Teil der Web-Oberfläche ist.
(http://www.heise.de/imgs/18/7/6/1/4/3/7/7e8da6fb933b1064.png)
In den Web-Oberflächen fand HD Moore
Adressbücher mit weiteren Unternehmen,
die er ebenfalls ungefragt anzapfen konnte.
Bild: Rapid7
Moore rechnet damit, dass die Situation bei den über ISDN erreichbaren Systemen noch dramatischer ist: "Mein Bauchgefühl sagt mir, dass es für jedes System, das ungeschützt über das Internet erreichbar ist, zwanzig weitere gibt, die unter einer obskuren ISDN-Nummer erreichbar sind, die die IT-Abteilung längst vergessen hat", meint der Experte. Admins können H.323-Systeme in ihren Netzen etwa mit dem Metasploit-Modul h323_version aufspüren.
Quelle: www.heise.de