Vigil@nce : Asterisk, détection d’utilisateur via REGISTER
mai 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer la méthode REGISTER, afin de détecter
si un nom d’utilisateur est valide.
– Gravité : 1/4
– Date création : 30/05/2011
PRODUITS CONCERNÉS
– Asterisk Open Source
DESCRIPTION DE LA VULNÉRABILITÉ
La directive "alwaysauthreject" d’Asterisk indique de retourner le
message d’erreur "401 Unauthorized" pour la majorité des erreurs
d’authentification.
Lorsque "alwaysauthreject" est inactif, tous les messages d’erreur
sont différents, ce qui permet de détecter des utilisateurs.
Lorsque "alwaysauthreject" est actif, la méthode SIP REGISTER
devrait être protégée. Cependant, la méthode REGISTER ne l’est pas :
- si le nom d’utilisateur est valide et le mot de passe est
invalide, Asterisk retourne une erreur de timeout
- si le nom d’utilisateur est invalide, Asterisk retourne "407
Proxy Authentication Required"
Un attaquant peut donc employer la méthode REGISTER même si
"alwaysauthreject" est actif, afin de détecter si un nom
d’utilisateur est valide.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Asterisk-detection-d-utilisateur-via-REGISTER-10691