[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]------------------------------------------------------------------ UNAM-CERT Departamento de Seguridad en Cómputo DGSCA- UNAM Boletín de Seguridad UNAM-CERT 2003-006 Múltiples Vulnerabilidades en Implementaciones de SIP (Session Initiation Protocol). ------------------------------------------------------------------ El CERT/UNAM-CERT , a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, han emitido éste boletín en el cual informan que han sido reportadas numerosas vulnerabilidades en múltiples implementaciones de distribuidores de SPI (Session Initiation Protocol). Estas vulnerabilidades pueden permitir a un intruso obtener accesos a privilegios no autorizados, causar ataques de negación de servicio , o causar un comportamiento inestable en el sistema. Si algún sitio utiliza productos SIP habilitados en cualquier capacidad, el CERT/UNAM-CER recomiendan que se consulte y analice este boletín, además sugiere que se sigan los pasos proporcionados en la sección de Solución. Fecha de Liberación: 21 de Febrero de 2003 Ultima Revisión: --- CERT/CC y diversos reportes Fuente: de Equipos de Respuesta a Incidentes. SISTEMAS AFECTADOS ----------------- Los productos habilitados con SIP de una amplia variedad de distribuidores son afectados. Otros sistemas haciendo uso de SIP pueden también ser vulnerables pero no han sido probados específicamente. No todas las implementaciones de SIP son afectadas. Consulte la sección Información de Distribuidores para obtener más detalles de los distribuidores que han proporcionado información a este boletín. Además de los distribuidores que han proporciona información a este boletín, una lista de distribuidores que el CERT/UNAM-CERT han contactado en relación a estos problemas esta disponible en la Nota de Vulnerabilidad VU#528719. DESCRIPCIÓN ----------- ISP (Session Initiation Protocol) es un protocolo nuevo en desarrollo que es utilizado comúnmente en Voz sobre IP (VoIP), telefonía en Internet, mensajería instantánea y otras varias aplicaciones. SIP es un protocolo basado en texto para iniciar sesiones de comunicación y datos entre usuarios. El Grupo de Programación Segura de la Universidad de Oulu (OUSPG) ha conducido una investigación previa en las vulnerabilidades en LDAP, culminando en el Boletín de Seguridad UNAM-CERT 2001-019, y SMPT, resultando en el Boletín de Seguridad UNAM-CERT 2002-002. La investigación más reciente de OUSPG se ha centrado en un subconjunto de SIP relacionado al mensaje INVITE, el cual es solicitado por agentes SIP y proxy para aceptar una orden de inicio de sesión. Al aplicar conjunto de pruebas PROTOS c07-sip a una variedad de productos habilitados con SIP, OUSPG descubrió impactos que van desde un comportamiento inesperado en el sistema y negación de servicio, hasta la ejecución de código remoto. Se debe hacer notar que "throttling" es un comportamiento inesperado. Especificaciones para el SIP están disponibles en el RFC3261: http://www.ietf.org/rfc/rfc3261.txt OUSPG ha establecido el siguiente sitio que detalla documentación sobre SIP y los resultados de las pruebas de implementación: http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/ La página del IETF Charter para SIP esta disponible en: http://www.ietf.org/html.charters/sip-charter.html IMPACTO ------- La explotación de estas vulnerabilidades puede resultar en condiciones de negación de servicio, interrupción de servicio y en algunos casos puede permitir a un intruso obtener acceso no autorizado al dispositivo afectado. El impacto específico variará de producto a producto. SOLUCIÓN -------- Muchos de los pasos de las soluciones recomendados a continuación pueden tener impacto significativo en las operaciones cotidianas de la red y/o en la estructura de la red. Se debe asegurar que los cambios realizados en base a las siguientes recomendaciones no afectarán el desempeño ni la capacidad de conexión a redes externas. * Aplicar una Actualización del Distribuidor. El Apéndice A contiene información de los distribuidores sobre este boletín. Se debe consultar este Apéndice y la Nota de Vulnerabilidad VU#528719 para determinar si algún producto es vulnerable. Si información sobre algún distribuidor no está disponible, consulte directamente a su distribuidor. * Deshabilitar los dispositivos y los servicios con SIP habilitado Como una regla general, el CERT/UNAM-CERT recomiendan deshabilitar cualquier servicio ó características que no sea explícitamente requeridas. Algunos de los productos afectados probablemente se basan en SIP para ser funcionales. Se debe considerar de forma muy cuidadosa el impacto de bloquear servicios que podrían no estarse utilizando. * Filtrado de Entrada Como una medida temporal, puede ser posible limitar el alcance de estas vulnerabilidades bloqueando el acceso a los servicios y a los dispositivos SIP en el perímetro de la red. El filtrado de entrada maneja el flujo de tráfico que entra a la red que esta bajo el control del administrador. Típicamente los servidores son las únicas máquinas que necesitan aceptar tráfico no limitado desde el Internet. La mayoría de los Agentes de Usuario SIP (incluyendo los teléfonos IP o los clientes de software) consisten de un cliente de Agente de Usuario y de un Servidor de Agente de Usuario. En la red se utilizan directivas de muchos sitios, y existen pocas razones para que los servidores externos inicialicen tráfico ilimitado hacia las máquinas que no proporcionan servicios públicos. De esta forma, el filtrado de ingreso debe ser llevado a cabo en la periferia para de esta manera prohibir la inicialización de tráfico externo ilimitado hacia servicios no autorizados. Para SIP, el filtrado de ingreso de los siguientes puertos, puede prevenir que intrusos fuera de la red accedan a dispositivos vulnerables en la red local y que no están explícitamente autorizados a proporcionar servicios públicos de SIP. sip 5060/udp # Session Initiation Protocol (SIP) sip 5060/tcp # Session Initiation Protocol (SIP) sip 5061/tcp # Session Initiation Protocol (SIP) over TLS Se debe tener consideraciones cuidadosas para solucionar los tipos de puertos mencionados anteriormente. Los sitios deben planear el filtrado de paquetes como parte de su estrategia para prevenir el exploit de estas vulnerabilidades. Se debe hacer notar que estas medidas podrían no proteger a los dispositivos vulnerables contra intrusos internos. * Filtrado de Salida El filtrado de salida maneja el flujo de tráfico que sale de la red que esta bajo control administrativo. Típicamente existe la necesidad de limitar las máquinas que proporcionan los servicios públicos que inicializan tráfico de salida hacia el Internet. En el caso de las vulnerabilidades en SIP, al emplear el filtrado de salida en los puertos listados anteriormente en el perímetro de la red, puede prevenir que la red sea utilizada como una fuente de ataque contra otros sitios. * Bloquear Requerimientos Dirigidos a Direcciones Broadcast Mediante el Ruteador Debido a que los requerimientos SIP pueden ser transmitidos vía UDP, los ataques de broadcast son posibles. Una solución para prevenir que el sitio sea utilizado como un intermediario en un ataque es bloquear los requerimientos SIP dirigidos a direcciones broadcast mediante el ruteador APÉNDICE A. Información Adicional --------------------------------- Este apéndice contiene información proporcionada por los distribuidores de éste boletín. Si un distribuidor en particular reporta nueva información al CERT/UNAM-CERT, esta sección será actualizada. America Online Inc No es vulnerable. Apple Computer Inc. Actualmente no existen aplicaciones proporcionadas por Apple con MAC OS X ó MAC OS X Server que hagan uso de ISP. BorderWare Los productos de BorderWare no hacen uso de SIP, de esta forma, los productos de BorderWare no son afectados por esta vulnerabilidad. Cisco Systems Cisco Systems ha direccionando las vulnerabilidades identificadas por #VU528719 a través de toda su línea de productos. Cisco ha liberado un boletín en: http://www.cisco.com/warp/public/707/cisco-sa-20030221-protos.shtml Clavister Los productos Clavister actualmente no incorporan soporte para conjunto de protocolo SIP, y por lo tanto, no son vulnerables. F5 Networks F5 Networks no tiene un producto servidor SIP, y por lo tanto no es afectado por esta vulnerabilidad. Fujitsu Concerniente a VU#528719, el sistema operativo UXP/V de Fujitsu no es vulnerable debido a que la función relevante no es soportada bajo UXP/V. Hewlett-Packard Company Fuente: Hewlett-Packard Company Software Security Response Team ID de Referencia: SSRT2402 HP-UX - No es vulnerable HP-MPE/ix - No es vulnerable HP Tru64 UNIX - No es vulnerable HP OpenVMS - No es vulnerable HP NonStop Servers - No es vulnerable Para reportar vulnerabilidades de seguridad potenciales en software HP, se debe enviar un correo electrónico a: mailto:security-alert en hp com IBM SIP no es implementado como parte del sistema operativo AIX. Las vulnerabilidades discutidas en VU#528719 no afectan a AIX. IP Filter IP Filter no hace manejo de ningún protocolo SIP en específico y por lo tanto no es afectado por las vulnerabilidades mencionadas en el documento. IPTel Todas las versiones de SIP express Router superiores a 0.8.9 son vulnerables al conjunto de pruebas de OUSPG. Se recomienda actualizar a la versión 0.8.10. Se debe aplicar la actualización para la versión 0.8.10 de http://www.iptel.org/ser/security/ antes de la instalación y mantener una observación de este sitio en el futuro. Juniper Neworks Los productos de Juniper Networks no usan SIP, y no generan, procesan, o actúan como proxy para mensajes del protocolo SIP. Por lo tanto, los productos de Juniper Networks no son susceptibles a esta vulnerabilidad. Clientes que deseen utilizar características de filtrado de paquetes de los productos Juniper Networks para bloquear mensajes del protocolo SIP pueden visitar el sitio Web de soporte para los productos Juniper Networks en https://www.juniper.net/support/csc/ o pueden contactar al Centro de Asistencia Técnica de Juniper Networks al teléfono 1-888-314-JTAC (clientes U.S. únicamente; clientes no-U.S. podrán llamar JTAC al +1 408-745-9500.) Lucent Los productos Lucent no son afectados por esta vulnerabilidad, sin embargo, se está investigando y se actualizará esta postura si es necesario. Microsoft Corporation Microsoft ha investigado sobre estos problemas. La implementación del cliente SIP de Microsoft no es afectada. NEC Corporation ===================================================================== NEC vendor statement para VU#528719 ===================================================================== Liberado el 13 de Febrero, 2002 Productos de Servidor * Sistema Operativo EWS/UP Serie 48. * - NO es vulnerable, debido a que no soporta SIP. Productos de Ruteador * IX Series 1000 / 2000 / 5000 * - NO es vulnerable, debido a que no soporta SIP. Otros productos de Red * Se continúan verificando los productos con soporte para el protocolo SIP. ===================================================================== NetBSD NetBSD no contiene ninguna implementación de SIP. NETfilter.org Debido a que la implementación de linux netfilter 2.4/2.5 actualmente no soporta rastreo de conexión o NAT para el conjunto de protocolo SIP, no es vulnerable a este bug. NetScreen NetScreen no es vulnerable a este problema. Network Appliance Los productos NetApp no son afectados por esta vulnerabilidad. Nokia Plataformas Nokia IP Security basadas en IPSO, plataformas Nokia Small Office Solution, productos VPN de Nokia y la plataforma Nokia Message Protector no inicializan o terminan sesiones basadas en SIP. Los productos Nokia mencionados no son susceptibles a esta vulnerabilidad. Nortel Networks Todos los productos que utilizan SIP han sido probados y todos los productos generalmente disponibles, con las siguientes excepciones, han pasado el conjunto de pruebas: Succession Communication Server 2000 y Succession Communication Server 2000 - Compact son impactados por el conjunto de pruebas son en las configuraciones donde SIP-T ha sido provisionado con el Communication Server; se espera que este disponible una actualización de software a finales de Febrero. Novell Novell no tiene productos implementando SIP. Secure Computing Corporation Neither Sidewinder no implementa SIP, por lo tanto, no es vulnerable. SecureWorx El conjunto de productos SecureWorx Basilisk Gateway Security (Firmware versión 3.4.2 o superior) no son vulnerables a la Vulnerabilidad VU#528719 como se describe en el anuncio de OUSGP (OUSGP#0106) recibido el 8 de Noviembre de 2002. Stonesoft El firewall de alta disponibilidad StoneGate de StoneSoft y los productos de VPN no contienen ningún código que maneje el protocolo SIP. Ninguna de las versiones de StoneGate son vulnerables. Symantec Los productos de Symantec Corporation no son vulnerables a este problema. Symantec no implementa SIP en ninguno de sus productos. Xerox Xerox esta conciente de esta vulnerabilidad y esta evaluando actualmente todos sus productos. Xerox actualizará esta información cuando las pruebas sean finalizadas. APÉNDICE B.- Referencias ------------------------ 1. http://www.ee.oulu.fi/research/ouspg/protos/ 2. http://www.kb.cert.org/vuls/id/528719 3. http://www.cert.org/tech_tips/denial_of_service.html 4. http://www.ietf.org/html.charters/sip-charter.html 5. RFC3261 - SIP: Session Initiation Protocol 6. RFC2327 - SDP: Session Description Protocol 7. RFC2279 - UTF-8, a transformation format of ISO 10646 8. Session Initiation Protocol Basic Call Flow Examples 9. Session Initiation Protocol Torture Test Messages, Draft ------------------------------------------------------------------ El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración, revisión y traducción de éste boletín a: * José Inés Gervacio Gervacio (jgervaci en seguridad unam mx). * Fernando Zaragoza Hernández (fzaragoz en seguridad unam mx). * Edgar Cristobal Ramírez Miranda (eramirez en seguridad unam mx). ------------------------------------------------------------------ INFORMACIÓN ----------- Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.cert.org/advisories/CA-2003-06.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Computo DGSCA - UNAM E-Mail : seguridad en seguridad unam mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -- Juan Carlos Guel Lopez UNAM-CERT Equipo de Respuesta a Incidentes UNAM DGSCA, UNAM E-mail: unam-cert en seguridad unam mx Circuito Exterior, C. U. Tel.: 5622-81-69 Fax: 5622-80-43 Del. Coyoacan WWW: http://www.seguridad.unam.mx 04510 Mexico D. F. WWW: http://www.unam-cert.unam.mx _______________________________________________ Ayuda mailing list Ayuda en linux org mx Para salir de la lista: http://mail.linux.org.mx/mailman/listinfo/ayuda/