Un INVITE of Death [1] es un tipo de ataque a un sistema VoIP que implica el envío de una solicitud SIP INVITE mal formada o maliciosa a un servidor de telefonía , lo que resulta en un bloqueo de ese servidor. Debido a que la telefonía suele ser una aplicación crítica, este daño causa una interrupción significativa a los usuarios y plantea enormes problemas de aceptación con VoIP. Este tipo de ataques no afectan necesariamente solo a los sistemas basados en SIP; todas las implementaciones con vulnerabilidades en el área de VoIP se ven afectadas. El ataque DoStambién se puede transportar en otros mensajes distintos a INVITE. Por ejemplo, en diciembre de 2007 hubo un informe sobre una vulnerabilidad en el mensaje BYE ("BYE BYE") mediante el uso de un encabezado obsoleto con el nombre "También". [2] Sin embargo, enviar paquetes INVITE es la forma más popular de atacar los sistemas de telefonía. [3] El nombre es una referencia al ataque del ping de la muerte que causó serios problemas en 1995-1997.
Servidores VoIP (INVITE of Death)
La vulnerabilidad INVITE of Death se encontró [4] el 16 de febrero de 2009. [5] La vulnerabilidad permite al atacante bloquear el servidor y provocar una Denegación de servicio (DoS) remota mediante el envío de un único paquete con formato incorrecto. Un imitador puede, utilizando un paquete con formato incorrecto, desbordar los búferes de cadena específicos, agregar una gran cantidad de caracteres de token y modificar campos de manera ilegal. Como resultado, un servidor se engaña a un estado indefinido, lo que puede provocar retrasos en el procesamiento de llamadas, acceso no autorizado y una denegación total del servicio. El problema existe específicamente en OpenSBC versión 1.1.5-25 en el manejo del campo "Vía" de un paquete SIP creado con fines malintencionados. [6] El paquete INVITE of Death también se utilizó para encontrar una nueva vulnerabilidad en el servidor OpenSBC parcheado a través de la minimización del diálogo de red. [7] [8]
Para el popular Asterisk PBX basado en código abierto , existen avisos de seguridad que cubren no solo problemas relacionados con la señalización, sino también problemas con otros protocolos y su resolución. [9] Los problemas pueden ser archivos adjuntos SDP mal formados donde los números de códice están fuera del rango válido o encabezados obsoletos como "También".
INVITE of Death es un problema específico para los operadores que ejecutan sus servidores en la Internet pública. Debido a que SIP permite el uso de paquetes UDP, es fácil para un atacante falsificar cualquier dirección de origen en Internet y enviar la INVITACIÓN de la muerte desde ubicaciones imposibles de rastrear. Al enviar este tipo de solicitudes periódicamente, los atacantes pueden interrumpir completamente el servicio de telefonía. La única opción para el proveedor de servicios es actualizar sus sistemas hasta que el ataque ya no bloquee el sistema.
Teléfonos VoIP
Existe una gran cantidad de vulnerabilidades de VoIP para teléfonos IP. Los ataques DoS en teléfonos VoIP son menos críticos que los ataques en dispositivos centrales como IP-PBX, ya que, por lo general, solo se ve afectado el punto final. [ cita requerida ]
Referencias
- ^ M. Zubair Rafique; et al. "Evaluación de ataques DoS contra sistemas VoIP basados en SIP" (PDF) . En Actas de la 28a Conferencia Global de Telecomunicaciones de IEEE 2009 . IEEE.
- ^ http://blog.tmcnet.com/blog/tom-keating/asterisk/asterisk-security-vulnerability-in-sip-channel-driver.asp
- ^ http://www.fiercevoip.com/story/invite-death-sip-digest-attack-ring-voip-security-alarms/2009-03-13?cmp-id=OTC-RSS-FV0 [ enlace muerto permanente ]
- ^ http://opensbc.blogspot.be/2012/11/opensbc-invite-of-death.html
- ^ M. Zubair Rafique; et al. "Evaluación de ataques DoS contra sistemas VoIP basados en SIP" (PDF) . En Actas de la 28a Conferencia Global de Telecomunicaciones de IEEE 2009 . IEEE.
- ^ Rafique, M. Zubair; Akbar, M. Ali; Farooq, Muddassar (2009). "Evaluación de ataques DoS contra sistemas VoIP basados en Sip". GLOBECOM 2009 - 2009 IEEE Global Telecommunications Conference . págs. 1–6. doi : 10.1109 / GLOCOM.2009.5426247 . ISBN 978-1-4244-4148-8.
- ^ http://zubairrafique.wordpress.com/2014/09/30/invite-of-death-and-network-dialog-minimization-new-vulnerability-in-voip-server/
- ^ http://osvdb.net/show/osvdb/86607
- ^ http://www.asterisk.org/security