Le projet PROTOS teste les vulnérabilités du protocole SIP

Introduction :

Le protocole "SIP" ("Session Initiation Protocol"- RFC3261) est un protocole utilisé dans le cadre de la téléphonie sur Internet, la voix sur IP (Voice over IP), la messagerie instantanée, etc. "SIP" permet d'initialiser des connexions entre utilisateurs.

Dans le cadre du projet PROTOS, projet testant les implémentations des différents protocoles de communication, le groupe finlandais "Oulu University Secure Programming Group" (OUSPG) a testé les implémentations du protocole "SIP".

Ce groupe s'était fait connaître en étant à l'origine des avis sur les vulnérabilités des implémentations SNMP (CERT-IST/AV-2002.049) et LDAP (CERT-IST/AV-2001.181).

Problème :

Des vulnérabilités ont été découvertes sur la gestion du message "INVITE" que les agents et relais "SIP" utilisent pour accepter l'initialisation des sessions "SIP".

L'exploitation de ces vulnérabilités peut, selon les équipements impactés, soit entraîner un déni de service de l'équipement implémentant le protocole "SIP" ou, dans certains cas particuliers, permettre un accès illégitime sur les systèmes impactés.

Les produits reconnus comme vulnérables et corrigés sont :

• Cisco : (déni de service seulement)

• Téléphone "Cisco IP Phone Model 7940/7960" utilisant "SIP" version antérieure à la 4.2
• Routeur Cisco utilisant Cisco IOS 12.2T et 12.2 'X'
• Garde-barrière Cisco PIX avec le support "SIP" versions 5.2(1) jusqu'aux versions 6.2(2), 6.1(4), 6.0(4) et 5.2(9) non incluses) 

• Nortel :

o        "Succession Communication Server 2000" et "Succession Communication Server 2000 - Compact" avec le support SIP-T.

Cependant de part la jeunesse du protocole "SIP" et la spécificité des technologies utilisées, le Cert-IST n'a pas émis d'avis sur le sujet.

Solutions :

• Appliquer les correctifs pour les système vulnérables,
• Filtrer le trafic "SIP" illégitime sur les ports 5060 TCP/UDP et 5061 TCP des équipements de filtrage

Pour plus d'information :

• Avis de sécurité du CERT/CC (CA-2003-06) : http://www.cert.org/advisories/CA-2003-06.html
• Avis de sécurité de Cisco : http://www.cisco.com/warp/public/707/cisco-sa-20030221-protos.shtml
• Résultat du groupe "OUSPG" : http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/
• Spécification du protocole "SIP" : http://www.ietf.org/rfc/rfc3261.txt