Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de ejecución de código en Asterisk GUI de Digium

Vulnerabilidad de ejecución de código en Asterisk GUI de Digium

Fecha de publicación: 
22/09/2017
Importancia: 
4 - Alta
Recursos afectados: 

Asterisk GUI 2.1.0 y anteriores.

Descripción: 

El investigador Davy Douhine de RandoriSec ha identificado una vulnerabilidad que afecta al framework de configuración grafica de Asterisk. Un potencial atacante autenticado en el sistema podría ejecutar código arbitrario en el dispositivo.

Solución: 

Asterisk GUI ya no se encuentra en mantenimiento y no debe utilizarse. Digium recomienda a los usuarios afectados migrar al producto SwitchVox de Digium.

ICS-CERT recomienda que los usuarios tomen las siguientes medidas de mitigación:

  • Minimizar la exposición de la red para todos los dispositivos y asegurarse de que no sean accesibles desde Internet.
  • Colocar las redes del sistema de control y los dispositivos remotos detrás de los firewalls, y aislados de la red corporativa.
  • Cuando se necesite acceso remoto, usar métodos seguros, tales como redes privadas virtuales (VPN)
Detalle: 

Se ha identificado una vulnerabilidad de inyección de comandos de SO que puede permitir la ejecución de código arbitrario en el sistema mediante la inclusión de comandos de SO en la petición de URL del programa. Se ha reservado para esta vulnerabilidad el identificador CVE-2017-14001.