Angriffe auf VoIP-Gateways von beroNet, Patch sorgt für Sicherheit

Angreifer entdeckten eine Schwachstelle in den VoIP-Gateways des Berliner Herstellers beroNet und nutzen diese seit kurzem aus, um die Rechnungen ihrer Opfer in die Höhe zu treiben. Ein Patch des Herstellers stopft das Sicherheitsloch.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Angriffe auf VoIP-Gateways von beroNet, Patch sorgt für Sicherheit
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

VoIP-Abzocker nutzen gezielt eine Schwachstelle in den VoIP-Gateways des Berliner Herstellers beroNet aus, um die Telefonrechnungen von Unternehmen in die Höhe zu treiben und sich so finanziell zu bereichern. Nach heise Security vorliegenden Informationen begannen die Angriffe wahrscheinlich zwischen Weihnachten und Neujahr vergangenen Jahres. Möglicherweise haben die Täter diesen Zeitpunkt bewusst gewählt, da viele Unternehmen zwischen den Jahren dünn besetzt sind.

Die Abzocker missbrauchten Zugangsdaten für SIP-Provider, die sie durch eine Schwachstelle aus VoIP-Gateways von beroNet ausgelesen hatten. Nachdem dieser Zusammenhang klar war, patchte der Hersteller die Lücke und informierte heise Security. Auf den Gateways läuft ein PHP-Skript, das den Zugriff auf das gesamte Dateisystem erlaubt – einschließlich der VoIP-Konfiguration mit den SIP-Zugangsdaten. Dieses Skript war fatalerweise ohne Authentifizierung zugänglich, sodass die Angreifer auf diesem Weg Zugriff auf die Login-Informationen auslesen können. Betroffen sind ausschließlich Nutzer, die das Web-Interface des Gateways über das Internet zugänglich gemacht haben.

Verwundbar sind laut beroNet alle VoIP-Gateways und Gateway-Karten, auf denen die Firmware 2.x und 3.x. läuft. Seit Montag steht eine abgesicherte Version 3.0.15 bereit, bei der sämtliche Skripte erst nach einer Authentifizierung erreichbar sein sollen. Den Versionszweig 2.x pflegt das Unternehmen nicht mehr. Nicht betroffen sind die Versionen 16.x – aktuell ist hier 16.05. Der Hersteller weist darauf hin, dass es nach einem Angriff notwendig ist, die im Gateway hinterlegten Passwörter zu ändern, damit sie von den Tätern nicht länger missbraucht werden können.

Zudem ist es ratsam, den Zugriff auf den HTTP-Port der Geräte von außen, wenn überhaupt, nur einem ausgewählten Nutzerkreis zugänglich zu machen – zum Beispiel über eine Firewall oder die Access Control List (ACL) der Gateways. Durch letztere kann der Admin festlegen, aus welchen IP-Bereichen auf welche Dienste des Gateways zugegriffen werden darf.

Angriffe wie dieser sind nicht ungewöhnlich, sondern seit geraumer Zeit alltägliches Geschäft für spezialisierte Abzocker. Sie scannen das Netz systematisch nach Telefonanlagen, VoIP-Geräten und anderem und versuchen anschließend durch schwache Passwörter und Sicherheitslücken in die Systeme einzusteigen. Im Anschluss versuchen die Täter kostspielige Telefonate zu Premium-Rufnummern oder ins Ausland zu initiieren, an denen sie tüchtig mitverdienen. Im Visier der Angreifer sind nicht nur Unternehmen: Auch etwa Fritzbox-Besitzer, die auf ihrem Router eine veraltete Firmware-Version einsetzen, werden auf diese Weise abgezockt. (rei)