Уязвимость в VoIP-шлюзах Vocaltec в стеке ASN.1/H.323/H.225

Дата публикации:
24.05.2004
Дата изменения:
17.10.2006
Всего просмотров:
4380
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Vocaltec VoIP vtg120, vtg480

Описание: При разборе пакетов VoIP-сигнализации с 4ой версией протокола H.225, содержащих инструкции tunnelledSignallingMessage c id = tunnelledProtocolAlternateID наблюдаются сбои в работе VoIP-шлюзов Vocaltec. Многократная посылка ( ~10 раз) такого пакета приводит к сбоям от отключения/перезагрузки vtgw-сервиса (с разрывом и потерей всех текущих звонков), до выпадения OS Windows NT 4 (которая используется на таких шлюзах) в BSOD.

Пример ASN.1 трассы пакета:

 
{
        q931pdu = {
          protocolDiscriminator = 8
          callReference = 4
          from = originator
          messageType = Setup
          IE: Bearer-Capability = {
            80 90 a5                                           ...
          }
          IE: Calling-Party-Number = {
            81 31 32 33 34 35 36 37  38 39 30                  .1234567890
          }
          IE: Called-Party-Number = {
            81 31 32 33 34 31 32 33  34 35 36 37               .12341234567
          }
          IE: User-User = { decode to h225pdu }
        }

        h225pdu = {
          h323_uu_pdu = {
            h323_message_body = setup {
              protocolIdentifier = 0.0.8.2250.0.4  <<-------- H.225v4
              sourceInfo = {
                vendor = {
                  vendor = {
                    t35CountryCode = 1
                    t35Extension = 2
                    manufacturerCode = 3
                  }
                }
                gateway = {
                  protocol = 1 entries {
                    [0]=voice {
                      supportedPrefixes = 0 entries {
                      }
                    }
                  }
                }
                mc = FALSE
                undefinedNode = FALSE
              }
              activeMC = FALSE
              conferenceID =  16 octets {
                61 62 63 64 65 66 67 68  61 62 63 64 65 66 67 68
              }
              conferenceGoal = create <<null>>
              callType = pointToPoint <<null>>
              sourceCallSignalAddress = ipAddress {
                ip =  4 octets {
                  ac 10 01 01
                }
                port = 666
              }
              callIdentifier = {
                guid =  16 octets {
                  62 62 63 64 65 66 67 68  61 62 63 64 65 66 67 68
                }
              }
              fastStart = 2 entries {
                [0]= 18 octets {
                  00 00 00 0d 40 01 80 0a  04 00 01 00 ac 10 01 01
                  47 f1
                }
                [1]= 29 octets {
                  40 00 00 06 04 01 00 4d  40 01 80 11 14 00 01 00
                  ac 10 01 01 47 f0 00 ac  10 01 01 47 f1
                }
              }
              mediaWaitForConnect = FALSE
              canOverlapSend = FALSE
              multipleCalls = TRUE
              maintainConnection = TRUE
              symmetricOperationRequired = <<null>>
            }
            h245Tunneling = TRUE
            nonStandardControl = 1 entries {
              [0]={
                nonStandardIdentifier = h221NonStandard {
                  t35CountryCode = 1
                  t35Extension = 2
                  manufacturerCode = 3
                }
                data = {...}
              }
            }
            tunnelledSignallingMessage = {
              tunnelledProtocolID = {
                id = tunnelledProtocolAlternateID {
                  protocolType = "abcd"
                }
              }
              messageContent = 1 entries {
                [0]= {...}
              }
            }
          }
        }
}
Причем для многих современных VoIP-шлюзов (к примеру, Cisco 5350), подобный метод построения пакетов является нормой по умолчанию.

Данная уязвимость протестированна на наличие в шлюзах vtg120, vtg480, но логично предположить (вследствие общности архитектуры шлюзов) что проявляется и на менее распространенных моделях.

Техническая служба компании Vocaltec никак не хочет реагировать на заявления о данной уязвимости.

Уязвимость обнаружил Tagoff Eugene .

Пример/Эксплоит: http://www.securitylab.ru/_Exploits/2004/05/killvoc-small.c

URL производителя: http://www.vocaltec.com

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

или введите имя

CAPTCHA