La plateforme gratuite et open source de télécommunication Asterisk est souvent utilisée en guise d’autocommutateur téléphonique prive (PBX), serveur de conférence ou de serveur vocal interactif.
Asterisk est exploité sur plus d’un million de serveurs dans 170 pays.
Trois vulnérabilités de sécurité ont été dévoilées jeudi, et doivent être corrigées à l’aide d’un correctif de sécurité.
La première, AST-2017-005, est jugée critique. Elle concerne le protocole RTP, un protocole de communication permettant le transport de données soumises à des contraintes de temps réel : en général, la voix sur IP, la vidéo conférence et le streaming.
L’option de configuration strictrtp permet d’apprendre l’adresse IP d’un média pour le temps d’une session, et de n’accepter des paquets que s’ils proviennent de cette adresse. Combiné à une option de symétrie, un bogue de strictrtp donne la possibilité à un pirate d’apprendre une nouvelle adresse source en tout temps, et de détourner le trafic.
La deuxième, AST-2017-006, est jugée modérée. Une source malveillante pourrait tenter de créér un nom et/ou un numéro d’identifiant d’appel pour exécuter n’importe quel code sur le serveur.
La troisième, AST-2017-007, est également jugée modérée. Une URI construite avec soin pour les champs ‘De’ ‘A’ ou ‘Contact’ pourrait crasher le serveur.
De nombreuses versions d’Asterisk à partir de 11.x sont vulnérables, et il est recommandé d’installer sans tarder les correctifs de sécurité.