Neu bereitgestellte Versionen der freien Voice-over-IP-Anlagen-Software Asterisk beheben mehrere, teils kritische Schwachstellen, die z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem erlauben. Die Installation der neuen Software-Versionen ist daher dringend angeraten.

Betroffene Systeme

• CVE-2008-1390:
  • Asterisk Open Source 1.4.x: alle Versionen bis vor 1.4.19-rc3
  • Asterisk Open Source 1.6.x: alle Versionen bis vor 1.6.0-beta6
  • Asterisk Business Edition C.x.x: alle Versionen bis vor C.1.6
  • AsteriskNOW: alle Versionen vor 1.0.2
  • Asterisk Appliance Developer Kit: alle Revisionen vor 104704
  • s800i (Asterisk Appliance) 1.0.0 bis vor 1.0.2
• CVE-2008-1332:
  
  • Asterisk Open Source 1.0.x: alle Versionen
  • Asterisk Open Source 1.2.x: alle Versionen bis vor 1.2.27
  • Asterisk Open Source 1.4.x: alle Versionen bis vor 1.4.18 und 1.4.19-rc3
  • Asterisk Business Edition A.x.x: alle Versionen
  • Asterisk Business Edition B.x.x: Alle Versionen bis vor B.2.5.1
  • Asterisk Business Edition C.x.x: alle Versionen bis vor C.1.6.2
  • AsteriskNOW: alle Versionen vor 1.0.2
  • Asterisk Appliance Developer Kit: alle Revisionen vor 109393
  • s800i (Asterisk Appliance) 1.0.x: alle Versionen bis vor 1.1.0.2
• CVE-2008-1289:
  
  • Asterisk Open Source: alle Versionen bis vor 1.4.18 und 1.4.19-rc3
  • Asterisk Open Source: alle Versionen bis vor 1.6.0-beta6
  • Asterisk Business Edition: alle Versionen bis vor C.1.6.1
  • AsteriskNOW: alle Versionen bis vor 1.0.2
  • Asterisk Appliance Developer Kit: alle Versionen bis vor Asterisk 1.4 Revision 109386
  • s800i (Asterisk Appliance): alle Versionen bis vor 1.1.0.2
• CVE-2008-1333:
  
  • Asterisk Open Source 1.6.x: alle Versionen bis vor 1.6.0-beta6

Nicht betroffene Systeme

• CVE-2008-1390:
  
  • Asterisk Open Source 1.0.x
  • Asterisk Open Source 1.2.x
  • Asterisk Open Source 1.4.19-rc3
  • Asterisk Open Source 1.6.0-beta6
  • Asterisk Business Edition A.x.x
  • Asterisk Business Edition B.x.x
  • Asterisk Business Edition C.1.6
  • AsteriskNOW 1.0.2
  • Asterisk Appliance Developer Kit 1.0.2
  • s800i (Asterisk Appliance) 1.0.2
• CVE-2008-1332:
  
  • Asterisk Open Source 1.2.27
  • Asterisk Open Source 1.4.18 und 1.4.19-rc3
  • Asterisk Business Edition B.2.5.1
  • Asterisk Business Edition C.1.6.2
  • AsteriskNOW 1.0.2
  • Asterisk Appliance Developer Kit 1.4 Revision 109393
  • s800i (Asterisk Appliance) 1.1.0.2
• CVE-2008-1289:
  
  • Asterisk Open Source 1.0.x
  • Asterisk Open Source 1.2.x
  • Asterisk Open Source 1.4.18 und 1.4.19-rc3
  • Asterisk Open Source 1.6.0-beta6
  • Asterisk Business Edition A.x.x
  • Asterisk Business Edition B.x.x
  • Asterisk Business Edition C.1.6.1
  • AsteriskNOW 1.0.2
  • Asterisk Appliance Developer Kit 1.4 Revision 109386
  • s800i (Asterisk Appliance) 1.1.0.2
• CVE-2008-1333:
  
  • Asterisk Open Source 1.0.x
  • Asterisk Open Source 1.2.x
  • Asterisk Open Source 1.4.x
  • Asterisk Open Source 1.6.0-beta6
  • Asterisk Business Edition A.x.x
  • Asterisk Business Edition B.x.x
  • Asterisk Business Edition C.x.x
  • AsteriskNOW 1.0.x
  • Asterisk Appliance Developer 0.0.x
  • s800i (Asterisk Appliance) 1.0.x

Einfallstor

• CVE-2008-1390:
  tcp-Port, auf dem der Asterisk HTTP Manager lauscht (voreingestellt ist: 5038/tcp)
• CVE-2008-1332:
  Port 5060/tcp (SIP)
• CVE-2008-1289:
  dynamisch vergebener tcp-Port mit geradzahliger Nummer, der auf einem betroffenen System für RTP verwendet wird
• CVE-2008-1333:
  ast_verbose logging API call

Angriffsvoraussetzung

• CVE-2008-1390:
  Zugriff auf eine Netzwerkverbindung, über die Pakete an den Asterisk HTTP Manager gesendet werden können
  (network)
• CVE-2008-1332:
  Zugriff auf eine Netzwerkverbindung, über die Pakete an den SIP-Port einer betroffenen Asterisk-Installation gesendet werden können
  (network)
• CVE-2008-1289:
  Zugriff auf eine Netzwerkverbindung, über die RTP-Pakete an eine betroffene Asterisk-Installation gesendet werden können
  (network)
• CVE-2008-1333:
  Zugriff auf eine Netzwerkverbindung, über die Lognachrichten über den ast_verbose logging API call an eine betroffene Asterisk-Installation gesendet werden können
  (network)

Angriffsvektorklasse

• CVE-2008-1390:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-1332:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-1289:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-1333:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2008-1390:
  unauthentifizierte Übernahme von Asterisk HTTP Manager-Sitzungen und damit administrativer Zugriff auf die Asterisk-Installation
  (user compromise)
• CVE-2008-1332:
  Möglichkeit, unauthentifiziert Anrufe durchzuführen
  (Gebührenbetrug)
  (other)
• CVE-2008-1289:
  Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des Asterisk-Prozesses
  (user compromise)
• CVE-2008-1333:
  
  • Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit den Privilegien des Asterisk-Prozesses
    (user compromise)
  • Versetzen des beherbergenden Rechnersystems bzw. der Asterisk-Installation in einen unbenutzbaren Zustand
    (denial of service)

Typ der Verwundbarkeit

• CVE-2008-1390:
  Designschwäche
  (design flaw)
• CVE-2008-1332:
  Designschwäche
  (design flaw)
• CVE-2008-1289:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-1333:
  format string vulnerability

Gefahrenpotential

• CVE-2008-1390:
  hoch (technische Sicht)
  sehr hoch (aus Sicht der Applikation)
  
• CVE-2008-1332:
  mittel (technische Sicht)
  mittel bis hoch (aus Sicht der Applikation)
  
• CVE-2008-1289:
  hoch
• CVE-2008-1333:
  hoch

Beschreibung

• CVE-2008-1390:
  Eine Schwachstelle in der Generierung von Session IDs bei der Benutzung des Asterisk HTTP Managers kann von einem Angreifer dazu ausgenutzt werden, Session IDs vorherzusagen, in der Folge die Sitzung zu übernehmen und somit administrativen Zugriff auf die betroffene Asterisk-Installation zu erhalten. Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer Pakete an den konfigurierten tcp-Port des Asterisk HTTP Managers senden kann. Voreingestellt wartet der Manager auf Port 5038/tcp auf Anfragen.
• CVE-2008-1332:
  Eine Schwachstelle in der Verarbeitung von SIP-Headers kann von einem Angreifer dazu ausgenutzt werden, Telefonanrufe zu initiieren, ohne sich vorher beim Asterisk-System authentifiziert zu haben. Sofern in der Installation Gebühren abgerechnet werden, kann der Angreifer so die Belastung seines Kontos mit Gebühren umgehen. Zur Ausnutzung der Schwachstelle ist es lediglich erforderlich, dass der Angreifer in der Lage ist, entsprechend präparierte SIP-Pakete an ein betroffenes System zu senden.
• CVE-2008-1289:
  Zwei Schwachstellen in den Routinen zur Verarbeitung von RTP-Paketen können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Asterisk-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Zur Ausnutzung der Schwachstelle ist es lediglich erforderlich, dass der Angreifer in der Lage ist, entsprechend präparierte RTP-Pakete an ein betroffenes System zu senden.
• CVE-2008-1333:
  Eine format string Schwachstelle in der ast_verbose logging API zur Vearbeitung von Lognachrichten kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Asterisk-Prozesses auf dem beherbergenden Rechnersystem auszuführen bzw. es in einen unbenutzbaren Zustand zu versetzen.

Workaround

• CVE-2008-1390:
  
  • Einschränkung des Netzverkehrs zu Port 5038/tcp auf einem betroffenen System auf das erforderliche Minimum, z.B. mittels einer Firewall
  Hinweis:
  Diese Maßnahme behebt die Schwachstelle nicht, sondern schränkt lediglich die Zahl der Systeme ein, von denen aus eine Ausnutzung der Schwachstelle möglich ist.
• CVE-2008-1332:
  
  • Einschränkung des Netzverkehrs zu Port 5060/tcp (SIP) auf einem betroffenen System auf das erforderliche Minimum, z.B. mittels einer Firewall.
  Hinweis:
  Diese Maßnahme behebt die Schwachstelle nicht, sondern schränkt lediglich die Zahl der Systeme ein, von denen aus eine Ausnutzung der Schwachstelle möglich ist. Im vorliegenden Fall einer VoIP-Anlage kann diese Maßnahme natürlich nur soweit greifen, als dass sie den Zugriff auf die legitimen Nutzer des VoIP-Dienstes einschränkt. Diese können damit jedoch weiterhin die Schwachstelle ausnutzen.
• CVE-2008-1289:
  
  • Einschränkung des RTP-Verkehrs auf einem betroffenen System auf das erforderliche Minimum, z.B. mittels einer Firewall.
  Hinweis:
  Diese Maßnahme behebt die Schwachstelle nicht, sondern schränkt lediglich die Zahl der Systeme ein, von denen aus eine Ausnutzung der Schwachstelle möglich ist. Im vorliegenden Fall einer VoIP-Anlage kann diese Maßnahme natürlich nur soweit greifen, als dass sie den Zugriff auf die legitimen Nutzer des VoIP-Dienstes einschränkt. Diese können damit jedoch weiterhin die Schwachstelle ausnutzen.
• CVE-2008-1333:
  
  • Einschränkung des Zugriffs auf einem betroffenen System auf das erforderliche Minimum, z.B. mittels einer Firewall.
  Hinweis:
  Diese Maßnahme behebt die Schwachstelle nicht, sondern schränkt lediglich die Zahl der Systeme ein, von denen aus eine Ausnutzung der Schwachstelle möglich ist. Im vorliegenden Fall einer VoIP-Anlage kann diese Maßnahme natürlich nur soweit greifen, als dass sie den Zugriff auf die legitimen Nutzer des VoIP-Dienstes einschränkt. Diese können damit jedoch weiterhin die Schwachstelle ausnutzen.

Gegenmaßnahmen

• CVE-2008-1390:
  Installation von:
  • Asterisk Open Source 1.4.19-rc3
  • Asterisk Open Source 1.6.0-beta6
  • Asterisk Business Edition C.1.6
  • AsteriskNOW 1.0.2
  • Asterisk Appliance Developer Kit 1.0.2
  • s800i (Asterisk Appliance) 1.0.2
• CVE-2008-1332:
  Installation von:
  • Asterisk Open Source 1.2.27
  • Asterisk Open Source 1.4.18.1
  • Asterisk Open Source 1.4.19-rc3
  • Asterisk Business Edition B.2.5.1
  • Asterisk Business Edition C.1.6.2
  • AsteriskNOW 1.0.2
  • Asterisk 1.4 Revision 109393
  • s800i (Asterisk Appliance) 1.1.0.2
• CVE-2008-1289:
  Installation von:
  • Asterisk Open Source 1.2.27
  • Asterisk Open Source 1.6.0-beta6
  • Asterisk Business Edition C.1.6.1
  • AsteriskNOW 1.0.2
  • Asterisk 1.4 Revision 109386
  • s800i (Asterisk Appliance) 1.1.0.2
• CVE-2008-1333:
  Installation von:
  • Asterisk Open Source 1.6.0-beta6

Vulnerability ID

• CVE-2008-1390
• CVE-2008-1332
• CVE-2008-1289
• CVE-2008-1333

Weitere Information zu diesem Thema

• CVE-2008-1390:
  AST-2008-005: HTTP Manager ID is predictable
• CVE-2008-1332:
  AST-2008-003: Unauthenticated calls allowed from SIP channel driver
• CVE-2008-1289:
  AST-2008-002: Two buffer overflows in RTP Codec Payload Handling
• CVE-2008-1333:
  AST-2008-004: Format String Vulnerability in Logger and Manager

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/