Bollettino VA-IT A

Transcript

1 Early W a r ning Bollettino VA-IT A

2 Guida alla corretta lettura della scheda riassuntiva Early Warning - Bollettino VA-IT A Pag. 2/6

3 P U B L I C CORRISPONDENZE EARLY WARNING INFORMAZIONI GENERALI DELLA VULNERABILITÀ TITOLO Esecuzione di codice remoto in Asterisk via MixMonitor Data Pubblicazione 03/07/2014 PI-CERT ID VA-IT A Data di pubblicazione della vulnerabilità del CERT di Poste Italiane. Identificativo della vulnerabilità del CERT di Poste Italiane. CVE ID CVE Identificativo CVE 1 della vulnerabilità. STANDARD CVSS V2 METRICHE BASE DELLA VULNERABILITA (CVSS V2 BASE 2 ) Base Score 6.5 Indicatore di pericolosità complessiva della vulnerabilità secondo lo standard CVSS v.2 3 (scala da 0 a 10). Access Vector NETWORK La vulnerabilità è sfruttabile da remoto. Access Complexity Authentication Confidentiality Impact Integrity Impact Availability Impact LOW SINGLE PARTIAL PARTIAL PARTIAL Lo sfruttamento di questa vulnerabilità non implica la compromissione di altri sistemi o l utilizzo di specifici schemi d attacco. Per sfruttare questa vulnerabilità è necessario avere un accesso valido al servizio esposto. L impatto sulla riservatezza è parziale, in funzione dei diritti dell utente con cui il servizio è stato avviato. L'integrità dei dati è persa parzialmente, in funzione dei diritti dell utente con cui il servizio è stato avviato. Questa vulnerabilità compromette la disponibilità del sistema, in funzione dei diritti dell utente con cui il servizio è stato avviato. METRICHE TEMPORALI DELLA VULNERABILITA (CVSS V2 TEMPORAL 4 ) Temporal Score Exploitability Remediation Level Report Confidence 4.8 UNPROVEN OFFICIAL FIX CONFIRMED Indicatore di minaccia della vulnerabilità che può mutare nel tempo (scala da 0 a 10). Al momento della stesura di questo bollettino, non sono stati rilasciati pubblicamente exploit o PoC per lo sfruttamento di questa vulnerabilità. FIX e workaround ufficiali sono stati rilasciati per la copertura di questa vulnerabilità. Le informazioni e i dettagli tecnici sulla vulnerabilità, sono stati confermati da più fonti e dal vendor stesso. Per maggiori informazioni sui campi compilati si rimanda alla pagina della Guida alla corretta lettura della scheda riassuntiva. 1 CVE (Common Vulnerabilities and Exposures): Elenco di vulnerabilità fornita dal MITRE Corporation al fine di standardizzare i nomi e le caratteristiche delle vulnerabilità. 2 Il gruppo "Base" dello standard CVSS v2 rappresenta l insieme delle caratteristiche intrinseche della vulnerabilità. 3 CVSS (Common Vulnerabilities Scoring System): Metodologia per il calcolo della severità delle vulnerabilità. 4 Il gruppo "Temporal" dello standard CVSS v2 rappresenta l insieme delle caratteristiche della vulnerabilità che mutano nel tempo. Early Warning - Bollettino VA-IT A Pag. 3/6

4 DESCRIZIONE DEL PRODOTTO Asterisk è un sistema con funzione di Private Branch exchange (PBX) open source, utilizzato per la trasmissione audio/video in tempo reale ovvero Voice over IP (VOIP), sfruttando una connessione Internet o una qualsiasi rete dedicata a commutazione di pacchetto. La sua implementazione è una delle più diffuse. INFORMAZIONI TECNICHE Il ricercatore di sicurezza Corey Farrell ha scoperto, all'inizio dell'anno 2014, una grave falla di sicurezza su Asterisk, che è stata divulgata tramite il team Asterisk Project Security Advisory della compagnia DIGIUM, che a sua volta l'ha resa pubblica il 12 giugno. Il bug sfrutta un non ben precisato problema di programmazione che, previa autenticazione sulla Asterisk Manager Interface (AMI), permette l'esecuzione di codice arbitrario lato server con diritti dell'utente AMI. La vulnerabilità risiede nel comando MixMonitor normalmente utilizzato per salvare su file il flusso di un qualsiasi canale audio. MITIGAZIONE Per la correzione del problema, il produttore raccomanda dei workaround e dei fix specifici, disponibili sul sito: SISTEMI VULNERABILI Asterisk Open Source 11.x Asterisk Open Source 12.x Certified Asterisk 11.6 (tutte) Early Warning - Bollettino VA-IT A Pag. 4/6

5 BOLLETTINI CORRELATI NON DISPONIBILI RIFERIMENTI Interni: NON DISPONIBILI Esterni: Espliciti del produttore: Early Warning - Bollettino VA-IT A Pag. 5/6

6 Termini e condizioni di utilizzo del bollettino Le informazioni contenute nel presente bollettino sono fornite così come sono, a meri fini informativi. In nessun caso il CERT Poste Italiane può essere ritenuto responsabile di qualunque perdita, pregiudizio, responsabilità, costo, onere o spesa, ivi comprese le eventuali spese legali, danno diretto, indiretto, incidentale o consequenziale, derivante da o connesso alle informazioni riportate nel presente bollettino. La versione.pdf del bollettino è statica ed, in quanto tale, contiene le informazioni disponibili al momento della pubblicazione. Per definire al meglio le vulnerabilità, le operazioni svolte dal CERT di Poste Italiane necessitano di scelte ben precise riguardo le minacce da considerare, le fonti di informazione ritenute più autorevoli e competenti in materia, le modalità di filtraggio delle informazioni, la valutazione della severity come metrica di base. Con particolare riferimento a quest ultima - da intendersi quale livello di pericolosità della vulnerabilità delle componenti di sistema o delle piattaforme - il CERT di Poste Italiane provvede a rivalutare i parametri che concorrono al calcolo della Base Score e Temporal Score secondo lo standard CVSS v.2 (Common Vulnerabilities Scoring System) e conseguentemente ad attribuire il proprio rating, avvalendosi del tool messo a disposizione dal sito del National Institute of Standards and Technology ( La diffusione, comunicazione, riproduzione, copia con qualsiasi mezzo delle informazioni contenute nel presente bollettino sono rigorosamente vietate. Non è consentito rivelare o comunicare in alcun modo a terzi tali informazioni, se non previa autorizzazione scritta del CERT di Poste Italiane. E obbligatorio adottare ogni precauzione necessaria ad impedire i rischi di accesso non autorizzato, uso non consentito o indebita appropriazione di tali informazioni da parte di soggetti, terzi o meno, non autorizzati. Eventuali delucidazioni sui contenuti del presente bollettino possono essere richiesti via al CERT di Poste Italiane all indirizzo: [email protected] Early Warning - Bollettino VA-IT A Pag. 6/6