Sinologic

Etiqueta: security

  • Vulnerabilidad de Mitel VoIP es utilizada para desplegar un ransomware

    Vulnerabilidad de Mitel VoIP es utilizada para desplegar un ransomware

    Ransomware attack in mitel voip systems

    El pasado mes de abril se anunció una vulnerabilidad de tipo «zero day» en el sistema de comunicaciones VoIP de Mitel (CVE-2022-29499) en la que, a través de una petición HTTP se conseguía la ejecución de código remoto mediante la obtención de comandos falsos de la infraestructura controlada por el atacante.

    Obviamente, siempre que se ejecuta código remoto sin comprobar hay alguien que lo aprovecha para instalar software no demasiado legal como es un ransomware.

    El descubrimiento fue realizado por una empresa de ciberseguridad llamada Crowdstrike que rápidamente informó a la empresa Mitel quien a su vez ha desarrollado un parche para corregir este fallo, no obstante, si hay empresas que no disponen de un mantenimiento actualizado y no tiene acceso a estas mejoras, están literalmente en peligro.

    Más información: https://www.crowdstrike.com/blog/novel-exploit-detected-in-mitel-voip-appliance/

  • El FBI descubre ahora una vulnerabilidad de Asterisk corregida en Marzo

    Se ha armado bastante revuelo en la blogosfera debido a que el IC3 (Internet Crime Complain Center) algo así como la «División de Delitos Informáticos» española, pero perteneciente al FBI acaba de hacer público (ahora) una vulnerabilidad de Asterisk que consiste en permitir a un usuario malvado hacerse con cierto control de Asterisk.

    La noticia es importante por que demuestra que al FBI le interesa este software y se hace cargo de que son muchas las empresas que lo utilizan. Las voces en la red sacan a relucir la «inseguridad» de esta hasta el punto que el IC3 ha enviado una nota de prensa preparando a los usuarios sobre esta «gravísima vulnerabilidad«.

    Lo que parece que no mucha gente se ha percatado al anunciar a bombo y platillo este anuncio, es que dicha vulnerabilidad fue corregida hace 9 meses (en Marzo de este año).

    Por lo tanto, uno puede llegar a pensar que si el IC3 cae ahora en las vulnerabilidades de hace 9 meses… deberían actualizar su Asterisk pronto. 🙂

    Nota de prensa del IC3: http://www.ic3.gov/media/2008/081205-2.aspx
    Respuesta de Digium: http://blogs.digium.com/2008/12/06/sip-security-and-asterisk/

    Nada, es lo que tiene no leer los blogs ni las actualizaciones de seguridad de Asterisk. 🙂

  • Cuidado con los servidores DNS en Asterisk

    Muchas personas, para evitar que su servidor Asterisk se quede bloqueado en el caso en que falle la conexión a Internet, suelen recurrir a diversas técnicas (explicación):

    • Utilizar direcciones IP en lugar de nombres de dominio.
    • Añadir los nombres de dominio que vayan a utilizar en el archivo /etc/hosts.
    • Instalar un servidor DNS en la red local que le sirva de caché y aisle las peticiones de resolución de nombres.

    En muchos casos, la primera opción no es viable, ya que muchos proveedores de servicios IP utilizan el mismo nombre de dominio para realizar round-robin y distribuir la carga entre varios servidores con distinta IP pero el mismo nombre de host.

    Son muchos los que optan por instalar el servidor DNS en el mismo sistema o bien dentro de la red local, pero aquí es donde hay que tener especial cuidado.

    Los servidores DNS son accesibles mediante los puertos 53 UDP y TCP (en algunos casos) y si estos son accesibles desde internet, y los utilizan los sistemas de nuestra red puede ocurrir que seamos vulnerables a diversos exploits e «inyecciones falsas» de registros IP/nombres en la caché DNS lo que puede llevarnos a páginas falsas o incluso a ataques phishing.

    Ahora, con las últimas vulnerabilidades encontradas (y publicadas) en el mismísimo protocolo de DNS son muchos los que se están aprovechando de esto.

    Concretamente, hoy he visto logs de ataques y donde consiguen inyectar direcciones IPs de diferentes páginas (de spam y porno por lo general) en servidores Bind.

    Por suerte, hay técnicas para prohibir el acceso al servidor DNS desde direcciones IPs diferentes a las de la red local, desde el propio servidor Bind o bien desde el maravilloso iptables de Linux.

    Así que… cuidado con los servidores DNS que tengamos instalados, no vayan a darnos alguna sorpresa desagradable. 🙂

  • Asterisk 1.4.21.2 y 1.2.30 Released!

    Empezamos el día con una nueva versión de Asterisk: acaba de ser lanzada 2 nuevas versiones de Asterisk, debido a 2 bugs encontrados en el IAX que han sido gestionados como vulnerabilidades como podeis ver en: AST-2008-010 y AST-2008-011.

    Las nuevas versiones las encontrareis en:
    http://downloads.digium.com/pub/asterisk/

  • VoIPER 0.06 Released

    VoIPER es una herramienta de seguridad que permite a cualquier administrador de una red VoIP probar la seguridad de su infraestructa de voz sobre IP. Es una herramienta para «torturar dispositivos SIP» basada en el RFC 4475 y una gran variedad de módulos de módulos auxiliares para detectar fallos y poder depurarlos.

    Voiper incorpora tests para:

    • SIP INVITE (3 tipos diferentes de tests)
    • SIP ACK
    • SIP CANCEL
    • SIP request structure
    • SDP over IP

    Incluye módulos como:

    • Protocol and process based crash detection and recording
    • Fuzzer pause/restart functionality (SFF)
    • Supports clients that require registration prior to fuzzing
    • Simple to expand to new protocols
    • As far as possible, protocol compliance e.g ACKs and CANCELs responses to prevent some clients hanging
    • Target process control (SFF)

    Esta aplicación es una de las principales para hacerle pruebas a los principales softphones públicos: Ekiga, Linphone, Twinkle, Gizmo5, NCH Business Talk, SJPhone,… aunque por esa misma regla de tres, nos puede servir para probar terminales SIP.

    La web de VoIPER trae algunos ejemplos que pueden ayudarnos a aprender cómo funciona.
    Más información: http://sourceforge.net/project/showfiles.php?group_id=208579
    Página principal de VoIPER: http://voiper.sourceforge.net/

  • Asterisk 1.6.0-beta9 Released!

    Pese a que muchos blogs y páginas de noticias sobre VoIP y Asterisk anuncian a bombo y platillo cada versión, revisión y corrección de bugs de Asterisk, estoy seguro que más de uno no le importa lo más mínimo cual es la última versión que salió ayer u hoy, no obstante, es importante recordar qué cambios va haciendo Asterisk ya que como un proyecto vivo, aquellos que siguen Sinologic y leen las noticias de las versiones, seguro que conocen en menor o mayor medida qué añadidos son importantes e interesantes para futuras implementaciones.

    En esta ocasión, la versión que ha salido hoy es la 1.6.0-beta9 (la beta más alta que recuerdo en Asterisk) y que tiene como último añadido, una feature escrita por nuestro colega Olle sobre envío de mensajes en modo texto mediante el chan_sip, algo que empieza a tomar forma. Lástima que el chan_sip siempre vaya tan lento pese a ser uno de los módulos más utilizados en Asterisk.

    Sobre todo, lo que tiene esta versión son correcciones de bugs encontrados desde la última versión.

    Podeis ver el ChanLog aquí:
    http://downloads.digium.com/pub/telephony/asterisk/ChangeLog-1.6.0-beta9

    y cómo no, descargarlo de aquí:
    http://downloads.digium.com/pub/telephony/asterisk/

  • Asterisk 1.4.19.2 Released!

    Pese a que está a punto de salir la versión 1.4.20 estable (ya está disponible la versión 1.4.20-rc2), el equipo de desarrolladores de Asterisk acaba de solucionar un importante bug de seguridad en el canal IAX tras lo cual escribieron un parche y este hacía que una llamada sobrecargara el sistema hasta tal punto que Russell Bryant, con un Core 2 Duo a 2.33Ghz era incapaz de manejar 16 canales IAX.

    Tras esto, muy recomendable actualizar, sobre todo si se utiliza el canal IAX.

    Más Información: http://downloads.digium.com/pub/asterisk/ChangeLog-1.4.19.2
    Enlace: http://downloads.digium.com/pub/asterisk/

  • RTPBreak 1.3 Released!

    RTPBreak es una aplicación que detecta, reconstruye y analiza cualquier trama RTP.

    La principal ventaja de esta aplicación es que no requiere de la presencia de paquetes RTCP y es totalmente independiente del protocolo de señalización utilizado (SIP, H.323, SCCP, …). La entrada es una secuencia de paquetes, la salida es un conjunto de archivos que puedes utilizar como entrada para otras aplicaciones como Wireshark, sox, grep, awk, cut, sed, etc.

    Un ejemplo de esta aplicación:

    xenion@gollum:~/dev/rtpbreak-1.3$ sudo src/rtpbreak -i wifi0 \
-g -m -d logz

+ rtpbreak v1.3 running here!
+ pid: 3580, date/time: 19/02/2008#09:49:21
+ Configuration

+ INPUT
Packet source: iface 'wifi0'
Force datalink header length: disabled

+ OUTPUT
Output directory: 'logz'
RTP raw dumps: enabled
RTP pcap dumps: enabled
Fill gaps: enabled
Dump noise: disabled
Logfile: 'logz/rtp.0.txt'
Logging to stdout: enabled
Logging to syslog: disabled
Be verbose: disabled

+ SELECT
Sniff packets in promisc mode: enabled
Add pcap filter: disabled
Expecting even destination UDP port: disabled
Expecting unprivileged source/destination UDP ports: disabled
Expecting RTP payload type: any
Expecting RTP payload length: any
Packet timeout: 10.00 seconds
Pattern timeout: 0.25 seconds
Pattern packets: 5

+ EXECUTION
Running as user/group: root/root
Running daemonized: disabled
* You can dump stats sending me a SIGUSR2 signal
* Reading packets...
! [rtp0] detected: pt=0(g711U) 192.168.0.30:2072 => 192.168.0.20:2074
! [rtp1] detected: pt=0(g711U) 192.168.0.20:2074 => 192.168.0.30:2072
* [rtp1] probable reverse RTP stream: [rtp0]
+ Status
Alive RTP Sessions: 2
Closed RTP Sessions: 0
Detected RTP Sessions: 2
Flushed RTP packets: 3358
Lost RTP packets: 122 (3.51%)
Noise (false positive) packets: 0
+ [rtp1] stats: packets inbuffer=262 flushed=1673 lost=61(3.52%),

call_length=1m2s
+ [rtp0] stats: packets inbuffer=270 flushed=1685 lost=61(3.49%),

call_length=1m2s
* [rtp1] closed: packets inbuffer=0 flushed=2800 lost=115(3.95%),

call_length=1m28s
* [rtp0] closed: packets inbuffer=0 flushed=2819 lost=106(3.62%),

call_length=1m28s
--
Caught SIGINT signal (2), cleaning up...
--

+ Status
Alive RTP Sessions: 0
Closed RTP Sessions: 2
Detected RTP Sessions: 2
Flushed RTP packets: 5619
Lost RTP packets: 221 (3.78%)
Noise (false positive) packets: 0
+ No active RTP streamxenion@gollum:~/dev/rtpbreak-1.3$

    Como podeis comprobar, es una herramienta muy potente y muy interesante para monitorización y sobre todo para ayudar a localizar quién o qué está ocasionando problemas. 🙂

    Enlace: http://xenion.antifork.org/rtpbreak/doc/rtpbreak_en.html

  • Material sobre Seguridad en la VoIP

    seguridadSaúl Ibarra acaba de publicar el material de una conferencia que dió la semana pasada sobre seguridad en una red VoIP muy interesante.

    Lo podeis ver aquí:
    http://www.saghul.net/

  • Publicado documento sobre Seguridad en la VoIP

    seguridad voipLeo en Voipsec que la gente de SANS han publicado un documento la mar de interesante donde se analizan los principales problemas de seguridad a los que debe enfrentarse un implementador de sistemas VoIP.

    Los puntos que trata:

    – Security vulnerabilities transitioning from POTS to VoIP
    – Real Time Protocol (RTP)
    – Asterisk and Inter-Asterisk Exchange (IAX)
    – Session Initiation Protocol (SIP)
    – Skype
    – Cisco VoIP

    Podeis leerlo aquí:
    http://www.sans.org/reading_room/whitepapers/voip/2036.php