De Hispasec – Una al Día: Denegaciones de servicio en Asterisk (11/09/2016)

Denegaciones de servicio en Asterisk

domingo, 11 de septiembre de 2016

Asterisk ha publicado dos boletines de seguridad que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio.

asterisk-logo2Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primer problema (AST-2016-006) reside en una denegación de servicio remota al tratar un ACK desde un punto final con nombre de usuario no reconocido. Este problema solo afecta a Asterisk Open Source 13.10 en usuarios que utilicen la pila PJSIP con Asterisk.

Por otra parte, en el boletín AST-2016-007, se trata un problema por la asignación de recursos RTP antes de que se liberen los antiguos. Lo que podría permitir a un atacante remoto el consumo de todos los recursos y puertos impidiendo establecer sesiones. Afecta a todas las versiones de Asterisk Open Source 11.x y 13.x y Certified Asterisk 11.6 y 13.8.

Se han publicado las versiones Asterisk Open Source 11.23.1 y 13.11.1 y Certified Asterisk 11.6-cert15 y 13.8-cert3 que solucionan estos problemas.

Más información:

Asterisk Project Security Advisory – AST-2016-006

Crash on ACK from unknown endpoint

http://downloads.asterisk.org/pub/security/AST-2016-006.html

Asterisk Project Security Advisory – AST-2016-007

RTP Resource Exhaustion

http://downloads.asterisk.org/pub/security/AST-2016-007.html

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Asterisk, DDoS, Seguridad, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *