Vigil@nce - Asterisk : détection d’utilisateur via INVITE
avril 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer la méthode INVITE, afin de détecter si
un nom d’utilisateur est valide.
Gravité : 1/4
Date création : 18/04/2011
PRODUITS CONCERNÉS
– Asterisk Open Source
DESCRIPTION DE LA VULNÉRABILITÉ
La directive "alwaysauthreject" d’Asterisk indique de retourner le
message d’erreur "401 Unauthorized" pour la majorité des erreurs
d’authentification.
Lorsque "alwaysauthreject" est inactif, tous les messages d’erreur
sont différents, ce qui permet de détecter des utilisateurs.
Lorsque "alwaysauthreject" est actif, la méthode SIP REGISTER est
protégée. Cependant, la méthode INVITE ne l’est pas :
– si le nom d’utilisateur est valide et le mot de passe est
invalide, Asterisk retourne une erreur de timeout
– si le nom d’utilisateur est invalide, Asterisk retourne "407
Proxy Authentication Required"
Un attaquant peut donc employer la méthode INVITE même si
"alwaysauthreject" est actif, afin de détecter si un nom
d’utilisateur est valide.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Asterisk-detection-d-utilisateur-via-INVITE-10572