联邦调查局的警告有所缓和Asterisk存在安全漏洞该公司承认,销售该软件的公司已经发现了这个问题,并在3月份修复了它。
FBI发言人表示,最新的情况是,他们在真实世界的一个案例中发现了该漏洞的利用vishing——利用网络电话欺骗来电者号码,这样受害者就会认为他们是在与合法企业通话,从而泄露宝贵的个人信息。(比较IP PBX产品.)
最初的警告美国联邦调查局网络犯罪投诉中心(IC3)周五发布的报告指出,这一漏洞不仅是新的,而且是一种新的网络钓鱼技术。“这是一个古老的漏洞,但我们看到罪犯正在利用它,”这位发言人在语音邮件中说。记者无法联系到他,他无法透露联邦调查局在野外发现的案件数量。
FBI所说的漏洞是由Digium的一名研究员发现的。Digium是一家销售Asterisk的商业版本并支持Asterisk的公司,当时正在执行常规代码和安全审计。
Asterisk开源社区的负责人John Todd说,这个问题影响到Asterisk 1.2和1.4版本。最新的版本是1.6.0.3。
托德说,如果用户遵循相当标准的部署pbx的最佳实践,这两个易受攻击的版本就不能被利用。他说,要想利用这一漏洞,IP PBX的软件必须配置成允许被归类为访客的用户拨打公共电话网络。他说:“他们真的必须搞砸了他们的配置,才能让这个漏洞被利用。”
托德说,被这一漏洞劫持的Asterisk IP PBX可能会向受害者发送信息,试图从他们身上提取有价值的信息,比如信用卡和银行账户号码。他说,与来电相关的来电显示可能会被伪造,这样一来,来电显示就会增加虚假信息的可信度,但许多运营商在建立直接内部拨号账户时,会屏蔽官方指定给业务客户的来电显示。
托德说,IC3在发出警告之前没有联系Digium,这很奇怪,这是FBI其他部门的做法。一般来说,行业惯例是在产品中发现安全漏洞时通知企业,以便企业可以在公布之前纠正它们。这就限制了任何潜在利用的范围。
他说,今年3月,Digium就该漏洞发布声明后,得到的回应比IC3情报报告发布以来还多。他还表示,他希望与联邦调查局更好的沟通可以避免未来类似的警告。