3月28日,思科公司公布了其VoIP服务器和 Presence服务器的安全漏洞警告,称远程攻击者可能利用漏洞对服务程序进行拒绝服务攻击。思科表示,Cisco Unified CallManager(CUCM)服务器和Cisco Unified Presence Server(CUPS)服务器存在拒绝服务漏洞,可能会受到恶意TCP(传输控制协议)、ICMP(Internet控制报文协议)或UDP(用户数据报协议)等数据包的远程攻击。
CallManager服务器专门处理网络上VoIP呼叫,如果恶意攻击者向其TCP 2000端口或者2443端口发送攻击性数据包,就可能攻破它的系统。这些端口原是思科公司用来处理专用呼叫控制协议的,上述两个端口分别对应SCCP (Skinny呼叫控制协议)和SCCPS(Secure SCCP)。CallManager 3.x版、4.x版和5.0版都面临着漏洞威胁,但本月最新发布的6.0版CUCM和Presence服务器都不存在这个漏洞。
此外,CallManager服务器和Presence服务器可能会受到Flood攻击,这种攻击来自ICMP回应请求(ping指令)或恶意UDP 数据包。这种Ping Flood漏洞只存在于CallManager 5.0服务器和1.x版Presence服务器当中。对于两类服务器上的IPSec管理服务而言,还面临着UDP漏洞的威胁,攻击者可利用UDP 8500端口发送恶意UDP包。虽然这种攻击危害较小,不会停止思科VoIP网络上正在处理或接收的呼叫,但是会造成某些性能的缺失,例如转发呼叫或更改 CallManager和Presence服务器群集配置的功能。
思科公司同时在网站上发布了相关的漏洞修复补丁。此外,思科还建议用户通过一些过滤技术减轻这些漏洞的危害。例如,只对VoIP终端点开放 CallManager系统的TCP 2000端口和2443端口;阻止CallManager和Presence服务器系统的ICMP回应请求;只对CallManager和 Presence服务器系统之间的群集配置开放IPSec Manager的UDP 8500端口等。
随着VoIP应用的推广,技术本身的漏洞将日益成为黑客攻击的目标,包括基于开放端口的拒绝服务式攻击、语音钓鱼攻击、呼叫转移和呼叫窃听等 VoIP安全性问题严重影响了用户的信任,阻碍了VoIP技术的市场发展。专家建议,对于已经采用VoIP解决方案的用户,要注意更改缺省设置,对 VoIP服务进行加密和认证,并及时更新VoIP系统和软件的补丁版本。
思科公布的拒绝服务安全漏洞
■ SCCP/CCPS端口扫描拒绝服务
攻击者发送特殊的数据包给TCP 2000和2443服务端口,可导致应用程序崩溃。
■ ICMP Echo请求Flood攻击拒绝服务
攻击者发送大量ICMP Echo请求(ping)给CUCM或CUPS系统,可导致应用程序崩溃。
■ IPSec管理拒绝服务
攻击者通过UDP 8500端口发送特殊的UDP数据包给IPSec管理服务,可导致应用程序崩溃。