Die Collaboration-Lösung "ClickShare" von Barco ermöglicht eine einfache und drahtlose Präsentation und Zusammenarbeit in Meeting-Räumen. Nun haben Berater des finnischen IT-Security-Unternehmen F-Secure "mehrere Sicherheitslücken" entdeckt, durch die es möglich ist, das System in weniger als 60 Sekunden zu hacken. So können vertrauliche Informationen wie Präsentationsinhalte oder Passwörter ausgespäht und Backdoors und andere Malware eingerichtet werden.
Foto: Barco
Laut Dmitry Janushkevich, Hardware Security Consultant bei F-Secure, macht gerade deren Beliebtheit solche benutzerfreundlichen Tools zum logischen Ziel von Attacken. Aus diesem Grund habe sich sein Team die Anwendung auch genau angesehen. "Dieses System ist so praktisch und einfach zu bedienen, dass die Nutzer keinen Grund sehen, warum sie misstrauisch sein sollten. Aber hinter der vermeintlichen Einfachheit verbergen sich extrem komplexe Vorgänge - was die Sicherheit zur Herausforderung macht", erläutert Janushkevich. Diese alltäglich eingesetzten Objekte, an die der Nutzer keine zwei Gedanken verschwendet, seien das beste Ziel für Angreifer.
Und so entdeckten Experten von F-Secure dort mehrfach verwertbare Sicherheitslücken. Zehn von ihnen sind CVE-Schwachstelle (Common Vulnerabilites and Exposures; Verzeichnis für bekannte Schwachstellen und Sicherheitsrisiken von Computersystemen). Die entdeckten Schwachstellen ermöglichen eine Vielzahl von Angriffen, so etwa das Abfangen der geteilten Informationen, die Nutzung des Systems zum Installieren von Backdoors oder anderer Malware auf dem Computer der Nutzer sowie den Diebstahl von Passwörtern und anderen Daten.
Neue Firmware-Version
Barco hat bereits reagiert und stellt eine neue Firmware-Version bereit. "Das neueste Update von Barco vom Dezember 2019 befasst sich unter anderem mit einer Reihe von Risiken, die durch ethisches Hacking entdeckt wurden", heißt es in einem Statement des Unternehmens. "Im Oktober 2019 haben die Berater von F-Secure mitgeteilt, dass sie Zugang zu unserer ClickShare-Lösung erhalten haben", erklärt Michael Vanderheeren, Director Product Management. Durch das Upgrade auf das Software-Release 1.9.1 können Kunden ihre Geräte absichern. "Wir empfehlen allen Kunden dringend, auf diese neueste Version zu aktualisieren", betont Vanderheeren.
Lesen Sie auch: Gerichtsentscheid im "Klick & Show"-Streit
Laut Barcos Product Security Incident Response Team-Mitglied (PSIRT) David Martens liegen derzeit keine Berichte vor, dass die Sicherheitslücken bereits ausgenutzt worden sind. F-Secure weist aber darauf hin, dass manche der Schwachstellen die Hardware-Komponenten betreffen und so nicht ohne weiteres durch ein Software-Update behoben werden können. Dazu muss man aber nach Auskunft von Martens die Elektronik im Innern der Basiseinheit manipulieren.
Die aktuelle Firmware kann unter https://www.barco.com/clickshare/firmware-update heruntergeladen werden. Zudem bietet Barco für ClickShare eine Auto-Update-Funktion an.
- Sicherheitslücken in VoIP-Telefonen
Forscher des Fraunhofer SIT haben 33 VoIP-Telefone von 25 Herstellern überprüft und dabei 26 Sicherheitslücken gefunden. - Sicherheitslücken in VoIP-Telefonen - was Distributoren raten
Guido Nickenig, Senior Director Presales bei Westcon Collaboration: "Das Rückgrat jeder VoIP-Security-Architektur ist ein robuster, sicher konfigurierter Session Border Controller (SBC). Die Appliances stellen die Integrität der Verbindungen, das Transcoding der Protokolle und die Anbindung der Remote-Mitarbeiter sicher – und schützen als leistungsstarke Firewall die gesamte Real-Time-Kommunikation." - Sicherheitslücken in VoIP-Telefonen - was Systemhäuser raten
Stefan Strobel, Geschäftsführer bei Cirosec: "Wir raten unseren Kunden schon lange, VoIP-Telefone ebenso wie andere IoT-Geräte in eigene Netzwerksegmente zu isolieren, um sie so besser kontrollieren und den Schaden begrenzen zu können." - Sicherheitslücken in VoIP-Telefonen - was Systemhäuser raten
Gunnar Porada, CEO von innosec: "Bei unserem Kunden waren die betroffenen Geräte direkt bei den Vorständen auf den Schreibtischen und boten enormes Angriffspotenzial. Es wäre möglich gewesen, die Geräte als Wanze zu missbrauchen und den ganzen Raum permanent aus der Ferne abzuhören." - Sicherheitslücken in VoIP-Telefonen - was Distributoren raten
Rainer Büter, Leiter Business Unit Home Communication bei Eno: "Unser VoIP-Portfolio inklusive VoIP-Security wird permanent ausgebaut, da es die Zukunft der Telefonie ist." - Sicherheitslücken in VoIP-Telefonen - was Distributoren raten
Steffen Ebner Vertriebsvorstand B2B bei Komsa: "Die Notwendigkeit einer Absicherung ist eine absolute Chance, um mit seinen Kunden ins Gespräch zu kommen und sie bestmöglich beraten und unterstützen zu können."