La falla riguarda parecchi sistemi di telefonia e di conferencing su Internet, fra cui hardware e software che sfruttano i protocolli VoIP (Voice over Internet Protocol), SIP (Session Initiation Protocol), MGCP (Media Gateway Control Protocol), sistemi di videoconferenza e dispositivi di rete che processano flussi di traffico in standard H.323, come routers e firewalls.
A quanto pare questa particolare vulnerabilità può essere sfruttata efficacemente per prendere il controllo di un server o di un firewall e/o lanciare degli attacchi di tipo DoS (Denial of Service).
Il primo security bulletin è stato rilasciato da una struttura britannica, il National Infrastructure Security Coordination Centre, che ieri ha rilasciato un advisory (Vulnerability Issues in Implementations of the H.323 Protocol) ulteriormente aggiornato in data odierna.
Ulteriori segnalazioni sono state immediatamente rilasciate da alcuni dei principali produttori di hardware e software coinvolti, fra cui Microsoft (Vulnerability in Microsoft Internet Security and Acceleration Server 2000 H.323 Filter Could Allow Remote Code Execution) e Cisco Systems (Vulnerabilities in H.323 Message Processing).
Sul sito del CERT-CC (Computer Emergency Response Team - Coordination Center) della Carnegie-Mellon è consultabile un documento contenente una trattazione del problema, delle indicazioni di massima utili per la sua soluzione e un dettagliato elenco dei produttori interessati, completo di eventuale link alla pagina contenente ulteriori informazioni tecniche e/o patch downloadabili (Advisory CA-2004-01 Multiple H.323 Message Vulnerabilities).
Date le sue caratteristiche peculiari, il pericolo rappresentato da questa vulnerabilità deve essere considerato grave e imminente.
Ecco alcune indicazioni del CERT:
Sites are encouraged to apply network packet filters to block access to the H.323 services at network borders. This can minimize the potential of denial-of-service attacks originating from outside the perimeter. The specific services that should be filtered includeLa raccomandazione rivolta agli amministratori di sistema, quindi, è di installare le patch di sicurezza eventualmente già disponibili immediatamente, o comunque di farlo non appena le stesse verranno rese disponibili dai produttori.
* 1720/TCP
* 1720/UDP
If access cannot be filtered at the network perimeter, the CERT/CC recommends limiting access to only those external hosts that require H.323 for normal operation. As a general rule, filtering all types of network traffic that are not required for normal operation is recommended.
It is important to note that some firewalls process H.323 packets and may themselves be vulnerable to attack. As noted in some vendor recommendations like Cisco Security Advisory 20040113-h323 and Microsoft Security Bulletin MS04-001, certain sites may actually want to disable application layer inspection of H.323 network packets.
Protecting your infrastructure against these vulnerabilities may require careful coordination among application, computer, network, and telephony administrators. You may have to make tradeoffs between security and functionality until vulnerable products can be updated.
Per finire, una piccola curiosità a margine: ecco cosa scrive il CERT a proposito del vendor Apple Computer Inc.:
Apple: Not Vulnerable. Mac OS X and Mac OS X Server do not contain the issue described in this note.
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.