Asterisk ha lanzado actualizaciones de seguridad que subsanan múltiples vulnerabilidades en sus productos Asterisk Open Source y Certified Asterisk, que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicio (DoS) o un acceso a la memoria fuera de los límites.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Crítica””. Estas son: CVE-2021-37706, CVE-2022-23608 y CVE-2022-21723, que se detallan a continuación:
- CVE-2021-37706 de severidad crítica, de puntuación 9.8. Dicha vulnerabilidad se debe a la incorrecta validación del atributo ERROR-CODE de mensajes STUN entrantes. La explotación de la misma permitiría a un atacante remoto no autenticado falsificar y enviar un mensaje UDP (STUN) especialmente diseñado para provocar un desbordamiento de enteros para lograr una ejecución remota de código (RCE) en el equipo afectado.
- CVE-2022-23608 de severidad crítica, de puntuación 9.8. Dicha vulnerabilidad se debe a un comportamiento indefinido (fallos, cuelgues, entre otros) de Asterisk cuando se actúa como Agente de usuario Cliente (UAC) y se realiza una llamada saliente a un objetivo que luego se bifurca. Esta situación permitiría a un atacante remoto no autenticado provocar denegación de servicio (DoS).
- CVE-2022-21723 de severidad crítica, de puntuación 9.1. Dicha vulnerabilidad se debe a un incorrecto procesamiento de un mensaje SIP entrante multiparte con formato incorrecto, que permitiría un acceso de lectura fuera de los límites y así provocar un comportamiento indefinido en el dispositivo vulnerable.
Las versiones afectadas en Asterisk son:
- Asterisk Open Source:
- versiones 16.x
- versiones 18.x
- versiones 19.x
- Certified Asterisk: versiones 16.x.
Recomendamos en caso de utilizarse la opción «with-pjproject-bundled«, actualizar o instalar una versión de Asterisk de las que se indican a continuación:
- Asterisk Open Source:
- 16.24.1
- 18.10.1
- 19.2.1
- Certified Asterisk 16.8
Adicionalmente, para corregir las vulnerabilidades mencionadas, recomendamos instalar la versión apropiada de pjproject que contiene el parche.
- Para CVE-2021-37706, se encuentran los parches por versiones en la sección Patches: https://downloads.asterisk.org/pub/security/AST-2022-004.html
- Para CVE-2022-23608, se encuentran los parches por versiones en la sección Patches: https://downloads.asterisk.org/pub/security/AST-2022-005.html
- Para CVE-2022-21723,se encuentran los parches por versiones en la sección Patches: https://downloads.asterisk.org/pub/security/AST-2022-006.html
Referencias:
- https://www.asterisk.org/downloads/security-advisories/
- https://downloads.asterisk.org/pub/security/AST-2022-004.html
- https://downloads.asterisk.org/pub/security/AST-2022-005.html
- https://downloads.asterisk.org/pub/security/AST-2022-006.html
- https://nvd.nist.gov/vuln/detail/CVE-2021-37706
- https://nvd.nist.gov/vuln/detail/CVE-2022-23608
- https://nvd.nist.gov/vuln/detail/CVE-2022-21723