UC-Integration und -Sicherheit: Die Quadratur des Kreises?, Teil 3

Anbieter zum Thema

Ein konkretes Beispiel: CTI-Sicherheit auf dem Prüfstand

Um die Angriffsmöglichkeiten auf ein ungeschütztes UC-System zu illustrieren, wird im Folgenden anhand einer konkreten Hersteller-Lösung gezeigt, wie ein CTI-Benutzer kompromittiert werden kann. Betrachtet wird die Telefonsteuerung über ein Mehrplatzsystem. Hierzu wird ein CTI-Server benötigt, der als Vermittler zwischen TK-Anlage, dem eigentlichen Benutzerarbeitsplatz und ggf. weiteren IT-Servern, mit Verzeichnis- oder CRM-Diensten dient.

Der Versuchsaufbau umfasst eine „Siemens HiPath8000“ als IP-PBX, den „Siemens HiPath CAP“-Server als CTI-Server, beziehungsweise Middleware, ein „Siemens OptiPoint“-IP-Telefon mit CTI-Freigabe und einen Arbeitsplatz, der über einen Siemens TAPI-Treiber CTI-Funktionalität anbietet, also insbesondere die Möglichkeit zur Steuerung des IP-Telefons.

In diesem Szenario besitzt der Angreifer Netzwerkzugang und hat die Möglichkeit, die CTI-Kommunikation, zwischen Arbeitsplatz und CTI-Server, mitzuhören. Dies kann im Vorfeld des eigentlichen Angriffs durch SwitchPort Mirroring, ARP Poisioning, MAC Flooding oder sonstige Attacken zur Beeinflussung der Netzwerkkommunikation erfolgt sein, die hier nicht betrachtet werden. Der Versuchsaufbau ist in Abbildung 3 dargestellt.

CTI-Verbindungsaufbau

Abbildung 3: Versuchsaufbau: Idee, Durchführung und Grafik: ComConsult (Archiv: Vogel Business Media)

Ein Anruf, der via CTI-Steuerung eingeleitet wird, durchläuft eine Reihe von Schritten, die die Beteiligung aller Komponenten des Versuchsaufbaus erfordert – den Angreifer mal ausgenommen. Zu Beginn meldet sich der Benutzer am CTI-Server an. Wählt der Benutzer im Folgenden einen Gesprächsteilnehmer aus, so wird der Vermittlungswunsch an den CTI-Server übermittelt.

Abbildung 6: Vereinfachter Verbindungsaufbau, Grafik: ComConsult (Archiv: Vogel Business Media)

Im Anschluss übermittelt dieser der HiPath 8000 die Gesprächsdaten und initiiert damit den Verbindungsaufbau. Die HiPath 8000 leitet den Verbindungswunsch an das Telefon des Benutzers und baut eine Verbindung zum Gesprächspartner auf. Wird der Telefonhörer aufgelegt, signalisiert das Telefon der HiPath 8000 das Gesprächsende. Abbildung 6 zeigt diesen vereinfachten Verbindungsaufbau.

Ein Mitschnitt des Netzwerkverkehrs zwischen der Arbeitsstation und dem CTI-Server ermöglicht einen detaillierten Blick auf die ausgetauschten Informationen, die in diesem Szenario auch dem Angreifer zur Verfügung stehen, da er Zugriff auf das Kommunikationsnetzwerk besitzt. Die Analyse des Mitschnittes liefert den in Abbildung 10/5 skizzierten Verbindungsaufbau zwischen Arbeitsplatzrechner und HiPath CAP Server.

Für das angestrebte Ziel, die Kompromittierung eines CTI-Benutzers, werden im Folgenden nur die vom Arbeitsplatz gesendeten Pakete näher betrachtet, da diese ausreichen um das Benutzertelefon unter die Kontrolle des Angreifers zu bringen.

Abbildung 4: Verbindungsaufbau, Grafik: ComConsult (Archiv: Vogel Business Media)

Im ersten Schritt sendet der Arbeitsplatzrechner ein „Login-Paket“ an die HiPath CAP, welche mit einem „Login Reply“ antwortet. Das „Login-Paket“ enthält neben den Informationen über das verwendete Protokoll (NetTSPI in Version 2) auch den Benutzernamen und das zugehörige Passwort des Benutzers, sowie die verwendete Passwortkodierung, hier Base 64.

NetTSPI;version=2;login=49(2408)1436-192;passwd=MTIzNDU2;encoding=B64

Der Login entspricht hier der Telefonnummer des Benutzers und das Passwort muss für diesen Angriff eigentlich nicht im Klartext vorliegen. Eine Dekodierung stellt jedoch auch kein Hindernis dar, da der entscheidende Hinweis auf die Base64-Kodierung im Login-Paket freundlicherweise geliefert wird.

Im Internet finden sich hinreichend viele Tools, um aus „MTIzNDU2“ das Passwort im Klartext „123456“ zu ermitteln.

Im zweiten Schritt werden die unterstützten Telefonie-Funktionen des Endgerätes abgefragt. In diesem Kontext ist es wichtig zu wissen, dass

ein Benutzer über mehrere Endgeräte verfügen kann,
jedes dieser Endgerät über mehrere Rufnummern besitzen kann,
und das jeder Rufnummer verschiedene Funktionen, wie z.B. Rufübernahme, Konferenz, etc., zugeordnet werden können.

Aus diesem Grund muss sowohl die Rufnummern- als auch die Endgeräte-ID spezifiziert werden.

TSPI_lineGetAddressCaps 0 192

Die Rufnummern-ID ist die 0 und das Endgerät wird mit der 192 adressiert.

Im dritten Schritt wird eine Leitung angefordert und dieser ein LineHandle zugewiesen.

TSPI_lineOpen 5 5 9332056 15903128 131072 „49(2408)1436-192“

Das LineHandle ist hier 15903128. Die Bedeutung der anderen Parameter ist an dieser Stelle irrelevant.

Nun kann, im vierten Schritt, das eigentliche Telefongespräch eingeleitet werden. Dazu werden das zuvor definierte LineHandle und die Zielrufnummer angegeben.

TSPI_lineMakeCall 65672 15903128 9335352 1 „T0951192“ 0 1 0 0 4 8 1 0 0 0 0 0 „“

Das LineHandle 15903128, definiert in Schritt drei, muss wieder übereinstimmen. Die angegebene Zielrufnummer „T0951192“ kann beliebig abgeändert werden, wobei das Präfix „T“ bleibt und die nachfolgende Null die Amtsleitung belegt.

Die gesammelten Informationen ermöglichen dem Angreifer die Kontrolle über das Endgerät 192 zu erhalten. Neben den eigentlichen Paketdaten, erlangt der Angreifer Kenntnis über die IP-Adresse und den verwendeten Port am HiPath CAP Server (hier 26535) auf dem der CTI-Dienst Verbindungen entgegennimmt.