Les chercheurs en cybersécurité ont divulgué mardi des détails sur une vulnérabilité de sécurité sans clic dans le protocole d’initiation de session Linphone (siroter) qui pourrait être exploitée à distance sans aucune action de la part d’une victime pour faire planter le client SIP et provoquer une condition de déni de service (DoS).
Suivi comme CVE-2021-33056 (score CVSS : 7,5), le problème concerne une vulnérabilité de déréférencement de pointeur NULL dans le « belle-gorgée« , une bibliothèque en langage C utilisée pour implémenter les couches de transport, de transaction et de dialogue SIP, avec toutes les versions antérieures à 4.5.20 affecté par le défaut. La faiblesse a été découverte et signalée par la société de cybersécurité industrielle Claroty.
Linphone est un client SIP open source et multiplateforme prenant en charge les appels vocaux et vidéo, la messagerie cryptée de bout en bout et les conférences audio, entre autres. SIP, quant à lui, est un protocole de signalisation utilisé pour lancer, maintenir et terminer des sessions de communication multimédia en temps réel pour les applications vocales, vidéo et de messagerie sur Internet.
À cette fin, la vulnérabilité exploitable à distance peut être activée en ajoutant une barre oblique malveillante (« ") à un en-tête de message SIP tel que À (le destinataire de l’appel), De (initiateur de l’appel), ou Dérivation (rediriger le point de terminaison de destination), entraînant un plantage de l’application cliente SIP qui utilise la bibliothèque belle-sip pour gérer et analyser les messages SIP.
« Le bogue sous-jacent ici est que les URI non SIP sont acceptés comme valeurs d’en-tête SIP valides », Sharon Brizinov, chercheuse chez Claroty. mentionné dans une rédaction. « Par conséquent, un URI générique tel qu’une simple barre oblique unique sera considéré comme un URI SIP. Cela signifie que l’URI donné ne contiendra pas de schéma SIP valide (le schéma sera NULL), et donc lorsque le [string] La fonction de comparaison est appelée avec le schéma inexistant (NULL), un déréférencement de pointeur nul sera déclenché et fera planter le client SIP. »
Il convient de noter que la faille est également une vulnérabilité zéro-clic car il est possible de faire planter le client SIP simplement en envoyant une requête INVITE SIP avec un en-tête From/To/Diversion spécialement conçu. En conséquence, toute application qui utilise belle-sip pour analyser les messages SIP sera rendue indisponible lors de la réception d’un « appel » SIP malveillant.
Bien que les correctifs soient disponibles pour la pile de protocoles principale, il est essentiel que les mises à jour soient appliquées en aval par les fournisseurs qui s’appuient sur la pile SIP affectée dans leurs produits.
« Les exploits réussis ciblant les vulnérabilités de l’IoT ont démontré qu’ils peuvent fournir une prise efficace sur les réseaux d’entreprise », a déclaré Brizinov. « Une faille dans un protocole fondamental tel que la pile SIP dans les téléphones et les applications VoIP peut être particulièrement gênant compte tenu de l’ampleur et de la portée des attaques contre de nombreux autres composants tiers utilisés par les développeurs dans des projets logiciels. »