Qualche giorno fa il ricercatore Hans Petter Selasky ha messo in all’erta la comunità degli sviluppatori, implementatori ed utenti di Asterisk, circa il rischio di una possibile string injection nel dialplan del PBX, molto simile nel principio di funzionamento alla ben nota SQL injection.
Molti protocolli VoIP, compresi IAX2 e SIP, possiedono un set piuttosto esteso di caratteri utilizzabile per la definizione delle extensions, come separatori nelle applicazioni dial() e queue(), e all’interno delle dialstring che tali applicazioni inviano ai channel drivers in Asterisk.
Questa caratteristica, se non opportunamente controllata, e qualora sia presente un carattere jolly, come nell’esempio seguente:
[from_internal]
exten => _X.,1,Dial(SIP/${EXTEN})
rende possibile l’esecuzione di chiamate normalmente non consentite.
In un caso simile, diviene infatti possibile forgiare un INVITE con dati come 300&Zap/g1/4565554321 per creare, in uscita, un channel addizionale non previsto.
Ovvero, come nella SQL injection, quella che è una caratteristica programmaticamente importante si trasforma in una vulnerabilità qualora manchi un rigido controllo dell’imput consentito.
Il...
Leggi il seguito »
- Articolo precedente: Milano: il TAR riammette il listino Formigoni
- Articolo successivo: Total finder 0.8
SEGNALA / INVIA QUESTO POST:
Hai trovato questo articolo interessante? Iscriviti GRATIS ai nostri feeds!
