Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica su piattaforma Asterisk

Asterisk  RTP Bleed   mercoledì, 6 settembre 2017
RTP Bleed logo

Logo RTP Bleed (fonte: Enable Security)

Asterisk è una piattaforma open source di riferimento utilizzata per la realizzazione di applicazioni di comunicazione, soluzioni di call management e telefonia IP.

Come segnalato al CERT Nazionale dalla società Yoroi, è stata resa nota l’esistenza di una vulnerabilità critica (CVE-2017-14099) che affligge le tecnologie di comunicazione multimediali Asterisk. Tale criticità è altresì nota con con il nome RTP Bleed.

La vulnerabilità è legata a lacune nella gestione delle sessioni RTP (Real-time Transport Protocol). Un attaccante di rete in grado di interagire con i servizi RTP della piattaforma Asterisk potrebbe sfruttare questa vulnerabilità per iniettare e/o redirigere flussi relativi a chiamate vocali in corso, intercettando così i contenuti audio scambiati all’interno delle sessioni RTP senza necessità di attuare tecniche di attacco man-in-the-middle.

La vulnerabilità risulta sfruttabile quando il software è configurato per il supporto a dispositivi dietro NAT ed in modalità RTP “strict” (nel dettaglio, opzioni nat=yes e strictrtp=yes). Tali opzioni sono comunemente abilitate nelle installazioni di default di Asterisk. Il produttore ha confermato la problematica per le versioni di Asterisk Open Source 11.4.0, 13.x e 14.x e Certified Asterisk 11.6 e 13.13. 

Considerata la diffusione della tecnologia in oggetto, la natura dei contenuti e delle informazioni potenzialmente a rischio e la disponibilità di dettagli tecnici e strumenti atti a replicare e testare la vulnerabilità, si raccomanda agli utilizzatori e ai gestori di installazioni Asterisk vulnerabili di applicare al più presto gli aggiornamenti di sicurezza resi disponibili dal produttore.

Come soluzione alternativa di mitigazione, si suggerisce di valutare l’utilizzo del protocollo SRTP (Secure Real-time Transport Protocol) in alternativa a RTP, in grado di supportare cifratura ed autenticazione dei flussi multimediali.

Per informazioni più dettagliate sulla vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare le fonti seguenti (in Inglese):