sábado, 2 de diciembre de 2017

Denegación de servicio en Asterisk

Asterisk ha publicado un nuevo boletín de seguridad donde soluciona una vulnerabilidad que puede dar lugar a una denegación de servicio, descubierta por el investigador Juan Sacco.



La vulnerabilidad se encuentra en el módulo de Asterisk 'chan_skinny', que es el encargado de que se pueda conectar de forma nativa los teléfonos de la serie Cisco-7900 dado que se trata de la implementación para el protocolo propietario 'SCCP'. Este protocolo permite una comunicación eficiente con un sistema 'Cisco Call Manager' que actúa como un proxy de señalización para llamadas iniciadas a través de otros protocolos como 'H.323', 'SIP', 'RDSI' o 'MGCP'.


La vulnerabilidad se dispara si enviamos muchas peticiones a través de este protocolo. El proceso de Asterisk reservará entonces gran cantidad de memoria virtual, lo que puede llegar a desencadenar el cierre del proceso y por consiguiente la parada del servicio completo.

El fallo afecta a la edición Open Source de Asterisk en sus versiones v13.X, v14.X, v15.X, además de a todas las versiones de Certified Asterisk. Se han publicado varios parches que aumentan la versión y solucionan la vulnerabilidad,



Mario Parra
@MPAlonso_
Más información:

Reporte Asterisk