VoIP and Hacking | Consulenza Documentazione

A distanza di un mese dal rilascio della precedente si è resa disponibile una nuova release, la 0.2.6, della suite SIPVicious, destinata all’auditing di sistemi VoIP basati su protocollo SIP.
Le novità di quest’ultima release poi, consistono esclusivamente in un bug fix e nella introduzione di un nuovo tool, svcrash, che è, in interessante controtendenza, un tool che serve a rispondere ai messaggi SIP originati da svwar ed svcrack (anche essi tools presenti nella stessa suite) con messaggi formati in modo da mandare in crash tali applicazioni, almeno per quanto riguarda le vecchie versioni.
È uno strumento progettato per venire utilizzato dagli amministratori di sistema allo scopo di limitare la possibilità delle indesiderate scansioni di enumerazione che lamers scriteriati o peggio potrebbero intraprendere ai danni dei propri PBX, se questi sono esposti pubblicamente.
Effettivamente, la repentina inclusione del tool sembra essere una risposta alla comparsa, lamentata da più parti, di episodi di “bandwith saturation” dovuta a scansioni SIP riconducibili ad un uso sconsiderato dei due tools in questione.
Talune scansioni, alla ricerca di servers SIP come Asterisk, sono state addirittura effettuate attraverso il cloudcomputing dei servers EC2 di Amazon. In quest’ultimo caso, in particolare, dato che il provider della vittima possiede in genere meno banda del cloud di Amazon, come accade del resto in altri tipi di attacchi DOS, il drop terminale dei pacchetti non è sufficiente.

La risposta è consistita in realtà in due fasi:

1. nell’aggiornamento dei tools svcrack.py e svwar.py, avvenuto nella precedente versione 0.2.5, a comprendere un timeout. Ognuno dei due tools, se non riceve risposte entro il timout definito, interrompe la scansione.

Una delle ragioni per cui non viene rilevata alcuna risposta potrebbe dipendere dal fatto che un Intrusion Prevention System abbia bloccato l’ IP originante, rendendo del tutto inutile perseverare nella stessa.

1. nella creazione di un piccolo tool in grado di interrompere l’attacco:

Un approccio più aggressivo al problema è l’uso del nuovo tool svcrash.py. Quello che il tool fa è abusare di una condizione non prevista nella decodifica delle informazioni relative al tag “To”. Ciò causa il crash sia di svwar che di svcrack, interrompendo così immediatamente un attacco.

Il fix per tale bug è proprio quello menzionato all’inizio, come unica altra novità presente nella release 0.2.6.

Come dire? Un colpo al cerchio ed uno alla botte!

Send post as PDF to