Capelle aan den IJssel, 20 juli 2006 - Het X-Force onderzoeks- en ontwikkelingsteam van Internet Security Systems (ISS) (Nasdaq: ISSX) heeft twee kwetsbaarheden ontdekt binnen het Inter-Asterisk eXchange-protocol versie 2 (IAX2). Het team biedt ISS-klanten bescherming tegen deze zwakke plekken. De kwetsbaarheden kunnen leiden tot een complete denial-of-service in omgevingen die Asterisk private branch exchange (PBX) gebruiken.
Asterisk is een open source-applicatie die organisaties toegang biedt tot alle functionaliteit van een typische telefonie-PBX. Hieronder vallen voicemail, telefonisch vergaderen, interactieve voice response, gesprekken in de wacht zetten, voeren van groepsgesprekken en nummerherkenning.
Asterisk PBX heeft IAX2 nodig voor het voeren van gesprekken via VoIP. De kwetsbare plek wordt duidelijk wanneer een hacker de telefooncentrale overstelpt met gespreksaanvragen. Hierdoor kan de centrale geen nieuwe gesprekken meer aannemen.
"Gebruikers moeten niet alleen oppassen voor zwakke plekken, zoals de kwetsbaarheid in Asterisk, die denial-of-service in hun VoIP PBX-implementaties tot gevolg kunnen hebben. Zij moeten ook letten op onderliggende zwakheden in de VoIP-omgeving die organisaties kwetsbaar maken voor phishing. Deze nieuwe bedreiging gebruikt VoIP om gebruikersinformatie te stelen en het VoIP-netwerk te spammen", zegt Chris Rouland, Chief Technology Officer van ISS. "Door preventieve bescherming van ISS te gebruiken, kunnen organisaties productiviteitsverlies voorkomen. Tevens voorkomt het kwetsbaarheden binnen VoIP-systemen en de besturingssystemen waarop VoIP draait."
ISS X-Force heeft nog een tweede kwetsbaarheid ontdekt, waardoor aanvallers accounts in een Asterisk PBX-netwerk kunnen gebruiken zonder een wachtwoord.
Zij kunnen hierdoor een ander netwerk overladen met grote aantallen gegevens. Dit kan de internetverbinding van het slachtoffer verzadigen en alle internetdiensten platleggen. Dat heeft ernstige gevolgen voor de servicekwaliteit.
Asterisk heeft inmiddels een patch uitgegeven voor de kwetsbare plek die kan leiden tot denial-of-service. ISS raadt Asterisk-gebruikers aan zo snel mogelijk te upgraden of IAX2-diensten niet open te stellen voor algemeen gebruik. Men adviseert Asterisk-gebruikers geen accounts te configureren zonder wachtwoord. Meer informatie is te vinden op
www.asterisk.org.
ISS biedt klanten met het Proventia® security-platform preventieve bescherming tegen kwetsbaarheden. De preventieve technologie van ISS is gebaseerd op onderzoek van het X-Force onderzoeks- en ontwikkelingsteam.
Door preventieve bescherming voor aanvallen te bieden met ISS Virtual Patch®-technologie, blijven organisaties de bedreigingen van internet vóór totdat zij patches van getroffen leveranciers tot hun beschikking hebben.
Advies van ISS X-Force over de kwetsbaarheden is te vinden op:
http://xforce.iss.net/xforce/alerts/id/228 en
http://xforce.iss.net/xforce/alerts/id/229 Internet Security Systems Internet Security Systems, Inc. (ISS) (Nasdaq: ISSX) is met zijn beveiligingsproducten en -diensten tegen internetbedreigingen de vertrouwde beveiligingspartner voor wereldwijd opererende bedrijven en overheden. ISS levert sinds 1994 bewezen kosteneffectieve oplossingen en vermindert
aansprakelijkheids- en bedrijfsrisico's voor klanten wereldwijd. De producten en diensten van ISS zijn gebaseerd op proactief beveiligingsonderzoek door ISS X-Force, het gerenommeerde onderzoeks- en ontwikkelingsteam van ISS. ISS heeft zijn hoofdkwartier in Atlanta (VS) en vestigingen in Noord- en Zuid-Amerika, Azië, Australië, Europa en het Midden-Oosten. Het hoofdkantoor voor Europa is gevestigd in Brussel. Voor meer informatie:
www.iss.net.
Voor meer informatie:
Internet Security Systems
Jos Nijsen
Managing Director Benelux
Telefoon: 010 28 62 600
E-mail:
jnijsen@iss.net www.iss.net Progress Communications
Richard Verbeek
Account Director
Telefoon: 020 36 31 152
E-mail:
richard@progresscommunications.nl www.progresscommunications.nl