Xakep #305. Многошаговые SQL-инъекции
Системы интернет-телефонии (VoIP), основанные на так называемых «софтверных телефонах», могут содержать тысячи уязвимостей, утверждают исследователи лаборатории Sipera Systems – VIPER Lab. Некоторые из уязвимостей были продемонстрированы на конференции Black Hat в Лас-Вегасе. Проблема начнёт проявляться по мере перевода IP-телефонии из корпоративных сетей в интернет.
Исследователи показали, как при помощи VoIP-протокола SIP можно захватить контроль над компьютером через приложение, уязвимое к переполнению буфера. Технология, однако, использует уязвимости VoIP и SIP, отметил директор по маркетингу Sipera Эрик Винсборроу. SIP и клиентские приложения (софтверные телефоны), такие как, например, для Microsoft Office Communication Server (OCS), используют всегда открытые TCP-порты 5060 и 5061. Это позволяет атаковать систему в любое время, в отличие, например, от атак через веб-клиенты (браузеры), которые открывают порты только для загрузки страниц.
По заявлению основателя и технического директора Sipera Кришны Курапати, исследователи компании открыли более 20 тыс. потенциальных уязвимостей в VoIP-приложениях. Эти уязвимости не могут быть обнаружены и предотвращены при помощи традиционных антивирусов.
Уязвимая природа VoIP начнёт проявляться по мере перехода компаний с VoIP 1.0 (по терминологии Sipera) – систем, работающих во внутренних сетях (WAN), на VoIP 2.0 – глобальные телефонные сети на базе IP, где приложения, находящиеся на клиентских компьютерах, будут доступны из интернета, считают специалисты Sipera. Тогда службы ИТ-безопасности компаний ожидают трудные времена.
Источник: Cnews.ru