Hace unos días, el CERT emitió un aviso acerca la existencia de un gran
número de problemas de seguridad en el protocolo SIP, utilizado en los
sistemas de telefonía vía Internet y voz sobre IP (VoIP).
SIP (Session Inititation Protocol) es un protocolo a nivel de aplicación
para la creación, modificación o finalización de sesiones donde existan
uno o más participantes. Estas sesiones pueden ser llamadas telefónicas,
distribución multimedia, videoconferencia... Se trata de un estándar de
importancia para los sistemas de telefonía vía Internet de nueva
generación.
La universidad de Oulu (Finlandia) ha desarrollado un conjunto de pruebas
contra diversos productos que utilizan el protocolo SIP, con el objetivo
de estudiar desde el punto de vista de la seguridad cual es su grado de
robustez. Como resultado, se han identificado un gran número de
vulnerabilidades de seguridad, habitualmente relacionadas con el mensaje
INVITE utilizado en el establecimiento de la conexión.
Estas vulnerabilidades son fácilmente reproducibles en los equipos
vulnerables, utilizando el paquete de pruebas PROTOS de la universidad de
Oulu. Como efectos de las vulnerabilidades es posible provocar, de forma
remota, la denegación del servicio, dejar el dispositivo en un estado
inestable o, en determinadas circunstancias, obtener acceso no autorizado
con privilegios de administrador.
Numerosos fabricantes de equipos que implementan el protocolo SIP han
emitido sendos avisos sobre la existencia de estos problemas que afectan a
sus equipos: Cisco, universidad de Columbia, DynamicSoft, IPTel y Nortel
Networks. Otros fabricantes todavía están evaluando el impacto de estas
vulnerabilidades en sus equipos, por lo que aconsejamos a los
administradores de cualquier sistema de telefonía vía Internet o VoIP
consultar con el fabricante de sus sistemas la posible existencia de
actualizaciones.
Opina sobre esta noticia:http://www.hispasec.com/unaaldia/1593/comentarMás información
Aviso del CERT CA-2003-26
Multiple vulnerabilities in implementations of the Session Initiation
Protocol (SIP)
http://www.cert.org/advisories/CA-2003-06.htmlCERT's Vulnerability Note VU#528719
Multiple implementations of the Session Initiation Protocol (SIP) contain
vulnerabilities
http://www.kb.cert.org/vuls/id/528719Boletín de seguridad UNAM-CERT 2003-006
Múltiples vulnerabilidades en implementaciones de SIP (Session Inititation
Protocol)
http://www.unam-cert.unam.mx/Boletines/Boletines2003/boletin-UNAM-CERT-2003-006.htmlSIP: Session Initiation Protocol
http://www.ietf.org/rfc/rfc3261.txtPROTOS Test-Suite: c07-sip
http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/Cisco Security Advisory: Multiple Product Vulnerabilities Found by PROTOS
SIP Test Suite
http://www.cisco.com/warp/public/707/cisco-sa-20030221-protos.shtmlSuccession Communication Server 2000 SIP Vulnerabilities
http://www.secunia.com/advisories/8121/Columbia SIP User Agent: Vulnerabilities Found by PROTOS SIP Test Suite
http://www.cs.columbia.edu/~xiaotaow/sipc/ouspg.htmlIPTel SIP Express Router SIP Vulnerabilities
http://www.secunia.com/advisories/8119/dynamicsoft Customer Advisory: Vulnerabilities with Session Initiation
Protocol (SIP) detected by PROTOS Test Suite
http://www.dynamicsoft.com/support/advisory/ca-2003-06.phpInternet telephony protocol riddled with security bugs
http://www.theregister.co.uk/content/55/29507.html
