RTP-Sicherheitslücke gefährdet Asterisk

Die VoIP-Software Asterisk weist einen Fehler auf, der es Angreifern ermöglicht, Anrufe über RTP zu belauschen, ohne dafür ein "Man in the Middle" zu werden. Wie mittlerweile bei Sicherheitslücken üblich. haben die Entdecker der Lücke einen marketingtauglichen Namen und eine Website gegeben: Auf https://rtpbleed.com/ sind alle Informationen gesammelt.

Konkret von dem Problem betroffen sind die Asterisk-Versionen 11.4.0 bis 14.6.1 und der RTPproxy in verschiedenen Ausführung. Nach Meinung der Autoren sind auch andere RTP-Proxy-Implementierungen gefährdet. Ein freies Tool erlaubt, die Anfälligkeit einer RTP-Installation zu testen. Ein weiteres Tool namens SIPVicious, das von den Bug-Entdeckern entwickelt und vermarktet wird, ist derzeit als Betaversion zu bekommen.

Das Problem tritt auf, wenn zur Telefonie neben RTP auch NAT verwendet wird, was bei der heutigen Internet-Infrastruktur oft der Fall ist. Der dabei verwendete Lern-Modus von RTP-Proxies verzichtet auf Authentifizierung und erlaubt es deshalb Angreifern, RTP-Anfragen an einen Proxy zu schicken und als Antwort die Inhalte anderer VoIP-Gespräche zu erhalten. Ein weiteres Risiko ergibt sich daraus, dass viele RTP-Proxies wahllos RTP-Pakete weiterleiten. Letzlich resultiert die Lücke aus einem Mangel in der RTP-Spezifikation und schlecht programmierten Proxies. 

Ein Patch für Asterisk behebt die Sicherheitslücke nicht vollständig, reduziert das gefährdete Zeitfenster aber auf wenige Millisekunden. Die Entdecker des Bugs empfehlen stattdessen, das SRTP-Protokoll zu verwenden.