07-31-2006, 01:05 AM
Los fallos podrían llevar a la denegación total del servicio de Internet o de telefonía en la oficina. Ya está disponible la solución.
........................................
La empresa de seguridad informática Internet Security Systems descubrió dos nuevas vulnerabilidades en la versión 2 del protocolo Inter-Asterisk Exchange (IAX2), utilizado para voz sobre Internet (VoIP).
Asterisk es una fuente abierta, lo que implica que la aplicación está disponible libremente y permite a las empresas acceder a todas las características de una típica central telefónica PBX, incluyendo servicios de correo de voz, reunión telefónica, respuesta de voz interactiva, llamada en espera, llamadas a terceros y servicios de identificación de llamada.
La vulnerabilidad de denegación de servicio (DoS) se registra en IAX2, que es utilizada por Asterisk PBX para intercambiar VoIP y contenidos de llamada. La vulnerabilidad queda clara si un atacante inunda el servicio telefónico con solicitudes de llamada, impidiendo así que el servicio telefónico tramite nuevas llamadas.
El segundo fallo permite a un atacante proporcionar cuentas sin claves en una red Asterisk PBX para inundar otra red con grandes cantidades de tráfico. Tal volumen de tráfico puede saturar la conexión de Internet del usuario afectado y causarle la denegación total del servicio a Internet. Además, los afectados por este ataque pueden ver reducida la calidad del servicio.
Asterisk ya ha lanzado un parche para solventar la vulnerabilidad de denegación de servicio. Así, la firma insta a los usuarios a actualizar sus programas lo antes posible, o bien a asegurarse de que los servicios IAX2 no están expuestos al público si no es necesario. Del mismo modo, se ha hecho hincapié en que los usuarios se cercioren de que las cuentas no están configuradas sin claves.
"Los usuarios de sistemas de VoIP deben ser conscientes de las vulnerabilidades de denegación de servicio en las implementaciones de sus VoIP PBX, tales como el fallo descubierto en Asterisk, y también de las debilidades descubiertas en el protocolo VoIP que pueden dejar a las empresas abiertas al Vishing, un nuevo tipo de amenaza que utiliza la telefonía VoIP para robar información del usuario, y spam sobre la red de VoIP", apuntó Chris Rouland, director de tecnología de Internet Security Systems.
Fuente: Infobae Profesional
Mas info sobre Asterisk
Saludos!!..
........................................
La empresa de seguridad informática Internet Security Systems descubrió dos nuevas vulnerabilidades en la versión 2 del protocolo Inter-Asterisk Exchange (IAX2), utilizado para voz sobre Internet (VoIP).
Asterisk es una fuente abierta, lo que implica que la aplicación está disponible libremente y permite a las empresas acceder a todas las características de una típica central telefónica PBX, incluyendo servicios de correo de voz, reunión telefónica, respuesta de voz interactiva, llamada en espera, llamadas a terceros y servicios de identificación de llamada.
La vulnerabilidad de denegación de servicio (DoS) se registra en IAX2, que es utilizada por Asterisk PBX para intercambiar VoIP y contenidos de llamada. La vulnerabilidad queda clara si un atacante inunda el servicio telefónico con solicitudes de llamada, impidiendo así que el servicio telefónico tramite nuevas llamadas.
El segundo fallo permite a un atacante proporcionar cuentas sin claves en una red Asterisk PBX para inundar otra red con grandes cantidades de tráfico. Tal volumen de tráfico puede saturar la conexión de Internet del usuario afectado y causarle la denegación total del servicio a Internet. Además, los afectados por este ataque pueden ver reducida la calidad del servicio.
Asterisk ya ha lanzado un parche para solventar la vulnerabilidad de denegación de servicio. Así, la firma insta a los usuarios a actualizar sus programas lo antes posible, o bien a asegurarse de que los servicios IAX2 no están expuestos al público si no es necesario. Del mismo modo, se ha hecho hincapié en que los usuarios se cercioren de que las cuentas no están configuradas sin claves.
"Los usuarios de sistemas de VoIP deben ser conscientes de las vulnerabilidades de denegación de servicio en las implementaciones de sus VoIP PBX, tales como el fallo descubierto en Asterisk, y también de las debilidades descubiertas en el protocolo VoIP que pueden dejar a las empresas abiertas al Vishing, un nuevo tipo de amenaza que utiliza la telefonía VoIP para robar información del usuario, y spam sobre la red de VoIP", apuntó Chris Rouland, director de tecnología de Internet Security Systems.
Fuente: Infobae Profesional
Mas info sobre Asterisk
Saludos!!..