ASTERWEB Blog

29Giu/100

Elastix nel suo blog (finalmente) consiglia fail2ban

Elastix

Elastix

Piano piano, ci sono arrivati anche loro.

Con un post del 26 giugno, infatti, rimandano ad un altro post (fatto da altri) dove viene spiegato come installare e configurare fail2ban per proteggere il proprio pbx.

Domandona: perché non lo mettono di default su Elastix, come tra l'altro fa da sempre pbxinaflash ?.

Detto ciò, vi rimando al tutorial che avevo fatto a suo tempo e che spiega come installare e configurare file2ban.

A proposito, per chi non lo sapesse, fail2ban si preoccupa di controllare i file di log generati dai vari programmi (ssh, asterisk, etc) e se verifica tentativi di accesso (ad esempio per SSH) o di registrazione di client SIP non andati a buon fine (per Asterisk) banna l'ip modificando iptables.

29Giu/100

SIPVicious ora si protegge da se stesso

www.asterweb.org

www.asterweb.org

La versione 0.2.6 del "famigerato" SIPVicious contiene il nuovo tool svcrash.py che è in grado di interrompere eventuali attacchi fatti con svwar o svcrack, mandandoli in crash (almeno quelli delle versioni precedenti).

Non ho ancora avuto modo di testarne pienamente il funzionamento.  Una volta testato farò un altro post.

Alla prossima.

14Giu/100

Sicurezza Asterisk: “ma allora sei proprio un pirla …”

logoasterisk

Scusate il titolo, ma quando ci vuole ci vuole !

Sto parlando di sicurezza per Asterisk ed in specifico del classico caso in cui attaccano il PBX, si registrano e fanno qualche migliaio di € di telefonate a scrocco !!!

Ritornando al titolo del post, se la cosa accade ad un utente che si è fatto da se il centralino e che non segue abitualmente l'evolversi del "mondo asterisk", la cosa può ancora essere comprensibile (fino ad un certo punto, ovviamente, perché l'azienda non sarà particolarmente contenta se una cosa del genere accade); ma se la cosa accade a un rivenditore, a uno che lo fa di mestiere, allora non ci sono giustificazioni.

L'argomento è infatti ampiamente trattato ed è di grande attualità (accade tutti i giorni che qualche pbx venga violato), per cui non organizzarsi in tal senso è un grave danno. Un grave danno per tutti:

  • per il Cliente che subisce il danno economico diretto (ovviamente)
  • per il rivenditore, che fa una gran brutta figura (eufemismo)
  • per tutti coloro che operano nel settore e che giornalmente si impegnano in maniera serie e professionale, che si ritrovano a sentirsi dire dai potenziali clienti: "... ma so che asterisk non è sicuro ..."

Detto ciò, è evidente che parlando di "sicurezza informatica" le problematiche sono tantissime e che non si "pretende" che tutti siano esperti in sicurezza, ma è altresì indispensabile che chi fa di Asterisk "il suo mestiere" lo faccia con consapevolezza, adottando quantomeno i criteri minimi di sicurezza.

25Mag/100

Proteggere il proprio Asterisk PBX da Attacchi

logoasterisk

Il problema degli attacchi a macchine Asterisk è ormi all'ordine del giorno e di conseguenza anche la necessità di proteggersi.

L'argomento è ampiamente trattato ma pare che, soprattutto da parte degli operatori del settore, ci sia una certa sottovalutazione del problema.

Al fine di avere una maggiore conoscenza del problema e delle possibili soluzioni, segnalo un Webinar organizzato da Xorcom il 3 giugno prossimo alle 5 pomeridiane (per l'Italia) che ritengo possa essere interessante.

La presentazione del webminar dice: "Over 99% of the attacks reported until now may be prevented by following a few simple practices. These practices are EASY, not time consuming, and frankly — you can’t afford not to follow them!".

Questo è il link del post dove si può fare la registrazione o richiedere la registrazione del Webinar.

Saluti a tutti

3Apr/100

Per chi utilizza Asterisk 1.6.0 e 1.6.1: il Team di sviluppo consiglia di passare alla 1.6.2

logoasterisk

In questo post del 31 marzo, il Team di Sviluppo di Asterisk annuncia che per le release 1.6.0 e 1.6.1 ci saranno esclusivamente rilasci per la risoluzione di bug di sicurezza.


Lo stesso Team consiglia, agli utenti che utilizzano le release 1.6.0 e 1.6.1, di passare alla 1.6.2 che verrà supportata nel "normale" sviluppo dei bug fixs.

Questa la tabella con i tempi di supporto per le release "ancora in vita":

Release Series Release Type Release Date Security Fix Only EOL
1.2.X 2005-11-21 2007-08-07 2010-11-21
1.4.X LTS 2006-12-23 2010-12-23 2011-12-23
1.6.0.X Standard 2008-10-01 2010-05-01 2010-10-01
1.6.1.X Standard 2009-04-27 2010-05-01 2011-04-27
1.6.2.X Standard 2009-12-18 2010-12-18 2011-12-28
1.8.X LTS TBD (Goal: Q3 2010) TBD + 4 years TDB + 5 years

Maggiorni dettagli qui: http://www.asterisk.org/asterisk-versions

13Feb/100

Sicurezza: AST-2010-001 – T.38 Remote Crash Vulnerability

logoasterisk
Description:
An attacker attempting to negotiate T.38 over SIP can remotely crash Asterisk by modifying the FaxMaxDatagram field of the SDP to contain either a negative or exceptionally large value. The same crash occurs when the FaxMaxDatagram field is omitted from the SDP as well.

Resolution:
Upgrade to one of the versions of Asterisk listed in the “Corrected In” section, or apply a patch specified in the “Patches” section.



Sono affette tutte le versione 1.6.x. Le versioni 1.6.0.22, 1.6.1.14 e 1.6.2.2 sono già corrette.

PATCH:
http://downloads.asterisk.org/pub/security/AST-2010-001-1.6.0.diff (v1.6.0)
http://downloads.asterisk.org/pub/security/AST-2010-001-1.6.1.diff (v1.6.1)
http://downloads.asterisk.org/pub/security/AST-2010-001-1.6.2.diff (v1.6.2)

Questo il link per scaricare il documento in pdf: AST-2010-001

10Dic/090

RTP Remote Crash Vulnerability

logoasterisk
Descrizione del problema:

"An attacker sending a valid RTP comfort noise payload containing a data length of 24 bytes or greater can remotely crash Asterisk."

Questo il documento dove trovate i dettagli: http://downloads.asterisk.org/pub/security/AST-2009-010.pdf

La vulnerabilità è stata eliminata nelle seguenti versioni di Asterisk:

  • 1.2.37
  • 1.4.27.1
  • 1.6.0.19
  • 1.6.1.11

Per cui non perdete tempo. Fate gli aggiornamenti !!!

6Nov/090

Asterisk 1.2.36, 1.4.26.3, 1.6.0.17, and 1.6.1.9 released

Il 4 novembre il Team di sviluppo di Asterisk ha annunciato il rilascio delle versioni:

  • 1.2.36
  • 1.4.26.3
  • 1.6.0.17
  • 1.6.1.9

Per il download:
http://downloads.asterisk.org/pub/telephony/asterisk/

Gli aggiornamenti riguardano varie criticità di sicurezza. In dettaglio:
http://downloads.asterisk.org/pub/security/AST-2009-008.pdf
http://downloads.asterisk.org/pub/security/AST-2009-009.pdf

Questo il post originale: http://www.asterisk.org/node/49859

29Ott/090

Asterisk 1.6.1.8 released

Il team di sviluppo di Asterisk ha rilasciato la release 1.6.1.8 di Asterisk. Questa release risolve principalmente una criticità di sicurezza che interessa esclusivamente la serie 1.6.1.

Il Team informa, inoltre, che è stata saltata la numerazione 1.6.7 per evitare confusione (come se non ce ne fosse abbastanza) rispetto a passati annunci. La prossima release candidate, che sarebbe stata 1.6.1.7-rc3, sarà rilasciata come 1.6.1.9-rc1.

Il link per il download della 1.6.1.8 è: http://www.asterisk.org/node/49855

Questo il ChangeLog: http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.1.8

Il link per visionare il documento relativo alla criticità di sicurezza è: http://downloads.asterisk.org/pub/security/AST-2009-007.pdf

Il link del post originale: http://www.asterisk.org/node/49855

22Set/090

Vulnerabilità IAX2 – Parliamo ancora di “sicurezza”

Asterisk 1.2.35, 1.4.26.2, 1.6.0.15, and 1.6.1.6 released

Il Team di sviluppo di Astersk ha announciato il rilascio delle versioni 1.2.35, 1.4.26.2, 1.6.0.15, e 1.6.1.6 di Asterisk. Per l'immediato download:

http://downloads.asterisk.org/pub/telephony/asterisk/

Queste release risolvono una importante vulnerabilità relativa alle comunicazioni su protocollo IAX2.

Leggete con cura questo documento che spiega in dettaglio la cosa:

http://downloads.asterisk.org/pub/security/AST-2009-006.pdf

Questo il link del post originale: http://www.asterisk.org/node/48621

Per cui non perdete tempo. Fate gli aggiornamenti !!!

P.S. vi ricordo che nel post http://www.asterweb.org/blog/?p=189 si parlava del rilascio, per tutte le release supportate, delle versioni che risolvevano un problema di sicurezza relativo al protocollo SIP.

11Ago/090

Asterisk 1.2.34, 1.4.26.1, 1.6.0.13, and 1.6.1.4 released

La novità più importante (molto importante) è il rilascio, per tutte le versioni supportate, di una correzione di sicurezza relativa alla vulnerabilità per "crash in SIP stack" (per ulteriori informazioni sui dettagli di questa vulnerabilità, si prega di leggere l'advisory di sicurezza AST-2009-005, che è stato a suo tempo pubblicato).
Il Team sottolinea comunque che che allo stato attuale non c'è riscontro di "incidenti" per questo tipo di vulnerabilità sulle versioni 1.4 e 1.2 ma ha deciso il rilascio degli aggiornamenti per prevenire che ciò possa accadere in fututo (detto ciò, quindi, provvedere a fare gli aggiornamenti !!!).

Ecco la lista completa dei cambiamenti:
http://downloads.asterisk.org/pub/telephony/asterisk/releases/ChangeLog-1.2.34
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.4.26.1
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.0.13
http://downloads.asterisk.org/pub/telephony/asterisk/ChangeLog-1.6.1.4