Sicherheitslücken in SIP-Implementierungen entdeckt
Die Sicherheitsexperten im finnischen Oulu haben monatelang verschiedene Implementierungen des für Instant Messaging entwickelten Signalisierungsprotokolls getestet und Verwundbarkeiten gefunden.
Acht von neun untersuchten Implementierungen des SIP (Session Initiation Protocol) sind verwundbar und somit unsicher. "Obwohl die Tests nur aus simplen Übungen mit Headern und Feldern in einer isolierten Umgebung bestanden, ist die Durchfallrate alarmierend", schreibt das PROTOS-Team der Oulu University Secure Programming Group (OUSPG) in den heute veröffentlichten Testergebnissen. Von drei Herstellern sind die Sicherheitslücken bisher bestätigt worden, wie im ebenfalls heute erschienenen Advisory des Computer Emergency Response Team (CERT) nachzulesen ist. Neben IPTel und Xerox ist auch zumindest eine Implementierung von Nortel Networks betroffen. Nortel hat zum Monatsende Patches angekündigt. Cisco, Hersteller von Netzwerkkomponenten, hat noch keinen Kommentar abgegeben.
Die Sicherheitsexperten im finnischen Oulu haben monatelang verschiedene Implementierungen des für VoIP-Verbindungen, Internet-Konferenzen, Anwesenheits- und Ereignis-Notifikationen sowie Instant Messaging entwickelten Signalisierungsprotokolls getestet. SIP wird unter anderem auch vom Third Generation Partnership Project (3GPP) als Teil der UMTS-Architektur verwendet. Die Sicherheitstests konzentrierten sich auf INVITE Messages, da sowohl SIP User Agents als auch Proxies diese beherrschen müssen, eintreffende "Einladungen" auch ohne vorheriges Setup akzeptiert werden müssen und schließlich die INVITE-Methode weitere Header-Felder und oft auch SDP-Daten (Session Description Protocol) übermittelt.
Bei einem Terminal und einem Proxy hat die OUSPG Buffer-Overflow-Angriffe demonstriert und so die Ausführung beliebigen Codes erreicht. Die anderen als verletzlich eingestuften Systeme sind durch Denial-of-Service-Attacken verwundbar. Solange keine Patches verfügbar sind, empfiehlt das CERT betroffenen Nutzern, alle nicht erforderlichen Systeme, die SIP anwenden, abzuschalten. Außerdem wird Border-Filtering nahegelegt; auch sollte man SIP-Nachrichten, die an Broadcast-Adressen von Routern geschickt werden, generell blockieren.
"SIP hat sich vom akademischen Spielfeld zum Industrieprotokoll mit Potenzial für weiten Einsatz entwickelt. In Bezug auf den tatsächlichen Einsatz befindet sich SIP noch in einer frühen Phase", betont die OUSPG und warnt: "Die HTTP-artige ASCII-Darstellung der SIP-Nachrichten könnte anfangs mehr Angriffe durch 'Scriptkids' provozieren als dies das konkurrierende Protokolle (H.323) mit komplexer Kodierung bislang getan hat."
Nähere Informationen über das von der IETF MMUSIC (Multiparty Multimedia Session Control) Working Group entwickelte SIP sind auf der Seite der Columbia University abrufbar. (Daniel Sokolov) / (anw)
