Ein Fehler in der VoIP-Software Asterisk und dem RTP-Proxy soll es Angreifern erlauben, Gespräche mithören zu können.
Laut den Entdeckern der Lücke, ist der so genannte RTP-Bleed-Bug ein ernstzunehmendes Problem, dass auch in anderen RTP-Proxies stecken soll. Das Problem besteht nur im Zusammenspiel von RTP und NAT. Betroffen sind die Asrterisk-Ausgaben 11.4.0 bis 14.6.1. Das Problem steckt in der fehlenden Authentifizierung seitens einiger RTP-Proxies, die, wenn auch NAT beim Telefonieren zum Einsatz kommt, bei eingehenden RTP-Anfragen Gespräche auch an diese Adresse schickt. Hinweise dass solch ein Angriff durchgeführt wird, könnte miserable Audio-Qualität oder ein Abbrechen des Gesprächs sein. Die Entdecker der Lücke haben eine Webseite dazu veröffentlicht, die auch eine FAQ enthält. Es sei während der Tests gelungen, verwundbare Systeme ausfindig zu machen, ob die Lücke bereits ausgenutzt wird, vermögen die Entdecker nicht zu sagen. Sie empfehlen statt RTP besser SRTP zu verwenden.
