Cabecera-v2-web.jpg

Actualización de seguridad para Asterisk


Asterisk ha publicado tres actualizaciones de seguridad para solucionar tres vulnerabilidades que podrí­an permitir a atacantes remotos o en red local revelar información sensible, causar una denegación de servicio o ejecutar código arbitrario en los sistemas afectados.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí­ e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes caracterí­sticas: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

asterisk.png

La primera vulnerabilidad, explicada en el boletí­n AST-2017-005, permite a un atacante remoto obtener información sensible forzando que se le enví­e información multimedia. El fallo tiene su origen en una relajación de las polí­ticas de manejo de RTP, que permití­an que una nueva fuente enviando RTP pudiese suplantar una fuente anterior (permití­a el cambio de dirección de la fuente). Si la opción de RTP simétrico está activa, la nueva fuente suplantadora recibirí­a toda la información multimedia del nodo. La solución incluye una serie de mitigaciones y cambios en la polí­tica de enví­o y recepción de RTP.

La segunda vulnerabilidad, descrita en el boletí­n AST-2017-006, permite a un atacante en red local ejecutar código arbitrario en una shell del sistema. El fallo es un clásico, pasar un comando a la shell usando parámetros no escapados correctamente. De esta forma, se puede introducir un parámetro especialmente manipulado que rompa la lógica de lectura de la shell y permita ejecutar comandos arbitrarios en ésta. En este caso, los parámetros son el nombre de la persona que llama y su número, que son parámetros proporcionados desde fuera y por tanto no fiables. La solución pasa por no dejar que la shell sea la encargada de separar los parámetros entre sí­.

La última vulnerabilidad, comentada en el boletí­n AST-2017-007, permite a un atacante remoto causar una denegación de servicio, haciendo que Asterisk caiga. El problema reside en la lectura de las cabeceras From, To y Contact, que puede fallar al leer una URI especialmente manipulada, tirando el sistema. La solución consiste en reforzar la lectura de estas cabeceras para que no falle con esas URI's.

Las dos primeras vulnerabilidades afectan a Asterisk Open Source en sus ramas 11, 13 y 14 y a Certified Asterisk en sus ramas 11.6 y 13.13, y la última vulnerabilidad afecta sólo a Asterisk Open Source en sus versiones 13.15.0 y 14.4.0. Actualizar a las últimas versiones de cada rama soluciona estos problemas.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11