2003
Mar
06
06/03/2003 Un protocolo de telefonía por Internet plagado de problemas de seguridad
Hace unos días, el CERT emitió un aviso acerca la existencia de un gran
número de problemas de seguridad en el protocolo SIP, utilizado en los
sistemas de telefonía vía Internet y voz sobre IP (VoIP).
para la creación, modificación o finalización de sesiones donde existan
uno o más participantes. Estas sesiones pueden ser llamadas telefónicas,
distribución multimedia, videoconferencia... Se trata de un estándar de
importancia para los sistemas de telefonía vía Internet de nueva
generación.La universidad de Oulu (Finlandia) ha desarrollado un conjunto de pruebas
contra diversos productos que utilizan el protocolo SIP, con el objetivo
de estudiar desde el punto de vista de la seguridad cual es su grado de
robustez. Como resultado, se han identificado un gran número de
vulnerabilidades de seguridad, habitualmente relacionadas con el mensaje
INVITE utilizado en el establecimiento de la conexión.Estas vulnerabilidades son fácilmente reproducibles en los equipos
vulnerables, utilizando el paquete de pruebas PROTOS de la universidad de
Oulu. Como efectos de las vulnerabilidades es posible provocar, de forma
remota, la denegación del servicio, dejar el dispositivo en un estado
inestable o, en determinadas circunstancias, obtener acceso no autorizado
con privilegios de administrador.Numerosos fabricantes de equipos que implementan el protocolo SIP han
emitido sendos avisos sobre la existencia de estos problemas que afectan a
sus equipos: Cisco, universidad de Columbia, DynamicSoft, IPTel y Nortel
Networks. Otros fabricantes todavía están evaluando el impacto de estas
vulnerabilidades en sus equipos, por lo que aconsejamos a los
administradores de cualquier sistema de telefonía vía Internet o VoIP
consultar con el fabricante de sus sistemas la posible existencia de
actualizaciones.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1593/comentar
Más información
Aviso del CERT CA-2003-26
Multiple vulnerabilities in implementations of the Session Initiation
Protocol (SIP)
http://www.cert.org/advisories/CA-2003-06.html
CERT's Vulnerability Note VU#528719
Multiple implementations of the Session Initiation Protocol (SIP) contain
vulnerabilities
http://www.kb.cert.org/vuls/id/528719
Boletín de seguridad UNAM-CERT 2003-006
Múltiples vulnerabilidades en implementaciones de SIP (Session Inititation
Protocol)
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-006.html
SIP: Session Initiation Protocol
http://www.ietf.org/rfc/rfc3261.txt
PROTOS Test-Suite: c07-sip
http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/
Cisco Security Advisory: Multiple Product Vulnerabilities Found by PROTOS
SIP Test Suite
http://www.cisco.com/warp/public/707/cisco-sa-20030221-protos.shtml
Succession Communication Server 2000 SIP Vulnerabilities
http://www.secunia.com/advisories/8121/
Columbia SIP User Agent: Vulnerabilities Found by PROTOS SIP Test Suite
http://www.cs.columbia.edu/~xiaotaow/sipc/ouspg.html
IPTel SIP Express Router SIP Vulnerabilities
http://www.secunia.com/advisories/8119/
dynamicsoft Customer Advisory: Vulnerabilities with Session Initiation
Protocol (SIP) detected by PROTOS Test Suite
http://www.dynamicsoft.com/support/advisory/ca-2003-06.php
Internet telephony protocol riddled with security bugs
http://www.theregister.co.uk/content/55/29507.html
Xavier Caballé