هفته گذشته شركت سيسكو به وجود دو نقطه ضعف امنيتي در سيستم CallManager، بخش مديريتي فناوري VoIP اين شركت اعتراف کرد.




اينفورميشن ويک - اعتراف هفته گذشته شركت سيسكو به وجود دو نقطه ضعف امنيتي در سيستم CallManager، بخش مديريتي فناوري VoIP اين شركت، يادآور اين حقيقت است كه VoIP با تمام مزايايي كه دارد، به عنوان يك نرم‌افزار نمي‌تواند عاري از آسيب‌پذيري باشد.

ضعف CallManager در مقابل حملات DoS (كه مي‌تواند مانع از دسترسي كاربران مجوزدار به شبكه VoIP شود) و حملاتي كه اختيارات كاربر را افزايش مي‌دهند، گرچه نسبت به تهديداتي چون سرقت اطلاعات مشتريان يا از كار انداختن سايت وب كم‌خطرتر هستند، اما وقتي ترافيك صوتي بيشتري روي اينترنت جابه‌جا شود، اين تهديدات اهميت بيشتري پيدا مي‌كند.

شركت تحقيقاتي Infonetics پيش‌بيني كرده است كه هزينه‌هاي فناوري VoIP از 2/1 ميليارد دلار در سال 2004 به 23 ميليارد دلار در سال 2009 افزايش خواهند يافت.

نرم‌افزار CallManager سيسكو قابليت‌هاي انجام مكالمات تلفني را به گوشي‌هاي IP، دستگاه‌هاي پردازشگر صوت و تصوير، گيت‌وي‌هاي شبكه، و برنامه‌هاي چندرسانه‌اي تعميم داده است. آسيب‌پذيري‌هاي DoS و افزايش اختيارات اين سيستم، كه البته اصلاحيه‌هاي آنها تهيه شده است، روي CallManager 3.2 و نسخه‌هاي قبل از آن، و برخي از نسخه‌هاي قبل از 1/4 اثر مي‌گذارند.

سيسكو نيز مانند مايكروسافت در بازار نرم‌افزار، هدف اصلي نفوذگران و خرابكاران VoIP شده است، چرا كه اين شركت سهم اعظم اين بازار را در دست دارد. گزارش گروه تحقيقاتي Synergy كه هفته گذشته منتشر شد حاكي است كه فناوري VoIP سيسكو، با بيش از سي هزار مشتري و 7 ميليون گوشي تلفني كه از زمان ورودش به بازار در شش سال گذشته به فروش رسانده است، توانسته است 18 درصد بازار سيستم تلفني ادارات را طي سال گذشته به دست آورد.

خطر ديگر از كم‌تجربه بودن دست‌اندركاران IT در زمينه امنيت VoIP است. از آنجا كه نفوذگران هنوز VoIP را به شدت مورد هدف قرار نداده‌اند، نياز به اجراي تدابير امنيتي در هنگام راه‌اندازي اين شبكه‌ها چندان احساس نمي‌شود. به گفته آفر آركين، رئيس فناوري شركت مديريت شبكه Insightix و عضو هيات مديره اتحاديه امنيت VoIP که مجموعه‌اي از شركت‌ها، محققان و دانشگاه‌هاي فعال در زمينه شبكه و امنيت است، «از كار انداختن زيرساخت يك سيستم VoIP آسان‌تر از تلفن‌هاي معمولي است. ما بايد اين موضوع را جدي بگيريم، چرا كه اگر مردم نتوانند شماره‌هاي ضروري نظير اورژانس يا فوريت‌هاي پليسي را بگيرند، آنچه به خطر مي‌افتد جان آنهاست».

اكثر حملات VoIP تا به امروز روي تلفن‌هايي خاص صورت گرفته و هدف بيشترشان سرقت سرويس يا تغيير تنظيمات به منظور اختلال در كار بوده است. چند ماه گذشته تيم تحقيقات X-Fore شركت Internet Security Systems اخطاريه‌اي را منتشر كرد مبني بر اين كه CallManager سيسكو داراي اشكالاتي است كه حمله‌كنندگان مي‌توانند با سوءاستفاده از آنها و ايجاد heap overflow، سيستم را از كار انداخته يا دسترسي غيرمجاز پيدا كنند. سال 2002 نيز آسيب‌پذيري‌هايي در تلفن‌هاي مبتني بر Session Initiation Protocol شركت Pingtel كشف شدند كه انجام حملات DoS، تغيير سيگنال SIP، و دسترسي غير مجاز از راه دور را امكان‌پذير مي‌كردند.