• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    Denegación de servicio en Asterisk
    04/12/2017
    =============================================
    ACTUALIZACIÓN
    Fecha de lanzamiento: 02/12/2017
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    Asterisk ha publicado un nuevo boletín de seguridad donde soluciona una vulnerabilidad que puede dar lugar a una denegación de servicio.

    INFORMACIÓN
    --------------------------------------------------------------------------------

    Asterisk es un programa de software libre (bajo licencia GPL) que proporciona funcionalidades de una central telefónica (PBX).

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    La vulnerabilidad se encuentra en el módulo de Asterisk 'chan_skinny', que es el encargado de que se pueda conectar de forma nativa los teléfonos de la serie Cisco-7900 dado que se trata de la implementación para el protocolo propietario 'SCCP'. Este protocolo permite una comunicación eficiente con un sistema 'Cisco Call Manager' que actúa como un proxy de señalización para llamadas iniciadas a través de otros protocolos como 'H.323', 'SIP', 'RDSI' o 'MGCP'.

    Es posible reproducir este fallo si se envía muchas peticiones a través de este protocolo. El proceso de Asterisk reservará entonces gran cantidad de memoria virtual, lo que puede llegar a desencadenar el cierre del proceso y por consiguiente la parada del servicio completo.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    Open Source de Asterisk en sus versiones v13.X, v14.X, v15.X, además de todas las versiones de Certified Asterisk.

    SOLUCIÓN
    --------------------------------------------------------------------------------

    Se han publicado varios parches que aumentan la versión y solucionan la vulnerabilidad: https://www.asterisk.org/downloads

    FUENTE
    --------------------------------------------------------------------------------

    https://hispasec.com/