上下文警告在黑帽美国的VoIP战争

研究人员警告，安全团队正在努力与越来越多的互联网协议（VoIP）中脆弱的漏洞延期延期。

由于组织越来越多地转向VoIP和基于云的统一通信（UC）系统，以支持商业服务和公司通信，攻击表面正在迅速增长。

“对现代VoIP和UC安全缺乏了解意味着许多服务提供商和企业将自己带来风险，以威胁参与者对伯特网，恶意软件分配，越野，拒绝服务攻击和欺诈等攻击等攻击进行攻击的威胁参与者。根据Fatih Ozavci，一个具有上下文信息安全的管理顾问。

在拉斯维加斯的黑帽安全会议上，ozavci于8月4日结束，突出了主要的UC产品套件和消息传递平台的潜在漏洞。漏洞允许黑客绕过安全措施，将恶意内容注入消息传递，欺骗呼叫者身份和旁路计费以及不安全配置引起的问题。

“通过利用这些漏洞，攻击者可以取得未经授权访问客户系统或通信服务，例如会议和协作，语音邮件，SIP中继和即时消息，”Ozavci说。

他的黑色帽子演示介绍了UC消息传递，联合通信和协作服务的弱点，可用于获得未经授权访问UC环境和客户端系统的联系，以及通过信令协议和消息传递攻击客户端系统。

“这些攻击可用于危及使用协议和软件漏洞连接的客户端系统，”Ozavci表示，添加：“拨号计划，MISCONPD SIP中继，会议和网络基础设施也是高级攻击的主要目标。”

上下文是研究人员还研究了媒体传输协议，如语音呼叫，文件，桌面和演示共享的安全实时传输协议（SRTP）。

传输的媒体可以具有机密或敏感信息，这可以是PCI，COBIT或合规性要求的对象，例如有关交互式语音响应（IVR）服务或客户隐私信息的信用卡信息。

“由于加密和设计问题不安全，可以暴露和损害传输的媒体中的敏感信息，”Ozavci说。

为了帮助提高对这些VoIP和UC漏洞的认识，Ozavci开发了开源工具Viproxy和Viproy，可用于VoIP渗透测试。