امنیت

سیسكو نقطه ضعف‌های امنیتی VoIP را برطرف كرد

 


شركت Cisco Systems یک نقطه ضعف اساسی در نرم‌افزار كنترل‌كننده سیستم مركزی VoIP این شركت را اصلاح كرد.





شرکت سیسکو سیستمز یک نقیصه امنیتی در نرم‌افزار Call Manager را که پیش‌تر از این كشف شده بود، برطرف کرد. 

Call Manager نرم‌افزار اصلی شركت سیسكو در ارائه سرویس تلفن مبتنی بر IP است و انجام عملیات كلیدی سیستم‌های VoIP سیسكو، از جمله سیگنال‌رسانی و مسیرگردانی تماس‌های تلفنی، را به عهده دارد.

حمله‌كننده با سوءاستفاده از نقطه ضعف مزبور می‌توانست شرایط DoS  را به سیستم تحمیل كرده و با انجام اقداماتی چون تغییر جهت تماس، استراق سمع، و دسترسی به دستگاه‌های اجراكننده محصولات VoIP سیسكو، كل مجموعه را مورد تهدید قرار دهد.

با وجود این كه سیسكو در اصلاح این اشكال سرعت‌عمل خوبی از خود نشان داد، اما فرصت برای رقبا هنوز باقی است تا یكی از بارز‌ترین نقیصه‌های امنیتی در صنعت VoIP تا به امروز را در رسانه‌ها برجسته كنند.

به گفته نیل مهتا، رئیس واحد تحقیقات فوری شركت Internet Security Systems، كه این نقطه ضعف را كشف كرد: «به محض این كه نفوذگر كنترل سرور Call Manager شما را به دست بگیرد، كار تمام است». منتها خبر خوب این است كه «هنوز از موارد سوءاستفاده از این نقطه ضعف گزارشی دریافت نشده است».

در همین رابطه، سخنگوی سیسكو نیز تأیید كرد كه شركت هیچ خبری مبنی بر سوءاستفاده از این نقاط آسیب‌پذیر دریافت نكرده است. وی در عین حال اعلام داشت كه با تمام مشتریان تماس حاصل شده و اصلاحیه نرم‌افزاری از طریق وب‌سایت سیسكو در دسترس آنها قرار داده شده است.

اما نیل مهتا (شركت ISS) معتقد است كه گزارش نشدن موارد سوءاستفاده از نقطه ضعف، دلیل بر ایمن بودن سیستم‌ها نیست، چرا كه نفوذگران عموماً هفته‌ها و گاهی ماه‌ها بعد از كشف شدن نقاط آسیب‌پذیر اقدام به نفوذ می‌كنند. به اعتقاد ایشان، اصلاحیه‌هایی كه شركت‌ها ارائه می‌دهند، كار را برای نفوذگران آسان‌تر می‌كند، زیرا آنها می‌توانند وضعیت نرم‌افزار را قبل و بعد از نصب اصلاحیه مورد مقایسه قرار دهند و راه‌های نفوذ را شناسایی كنند.

شركت ISS علاقه خاصی به یافتن نقاط ضعف در محصولات VoIP سیسكو و سایر شركت‌ها دارد، چرا كه فعالیت اصلی این شركت در زمینه ساخت نرم‌افزارهای امنیتی برای سیستم‌های مبتنی بر VoIP است. این شركت آتلانتایی همچنین در زمینه IDS/IPS با سیسكو رقابت دارد.

آگاهان می‌گویند كشف نقطه ضعف در Call Manager سیسكو ممكن است بر تصمیم سازمان‌ها در خرید سیستم‌های VoIP از این شركت تأثیر بگذارد، اما به هر حال، این یكی از ده‌ها موردی است كه در ارزیابی میزان موفقیت فروش محصولات باید ملاحظه كرد.

كشف این نقطه ضعف زنگ خطری برای رقباست تا به بازنگری امنیت در سیستم‌های خودشان بپردازند. سهم سایر رقبای سیسكو در بازار فروش IP-PBX در آمریكا عبارت است از 14 درصد برای آوایا، 11 درصد برای تری‌كام، و 9 درصد برای نورتل. پیش‌بینی می‌شود 97 درصد سیستم‌های تلفنی نصب شده در آمریكا تا سال 2007، یا مبتنی بر VoIP و یا به صورت مركب باشند.

   


​​