[Elastix General-es] Exploit Elastix

Paul Estrella pestrella en elastix.org
Lun Mar 26 12:07:31 EDT 2012


Danny,

Es parte del juego, siempre existirán personas trabajando en vulnerar 
las soluciones VoIP. Con respecto a FreePBX, hemos estado trabajando 
constántemente en solucionar cualquier problema que pueda existir, de 
manera pronta.

Ya que mencionas lo del firewall, mi mejor recomendación por el momento 
es que le des un vistazo al módulo de Seguridad que tiene 2.2.

Con respecto al tweet, es común enterarse por este medio, esa es una 
ventaja de estar suscrito a algunos medios especializados, lo cual puede 
ayudarte a resolver problemas de manera inmediata.

Con respecto al fallo, algunas personas de la lista que trabajan en 
seguridad probablemente nos den una mano. Gerardo el año pasado presentó 
una conferencia sobre protección de Elastix a lo mejor lo animamos a que 
nos comente en extendido el tema.

Saludos Cordiales

Paul Estrella
Product Development
PALOSANTO SOLUTIONS
EC:  +593-4-2294440 / USA: +1-877-3527849
Ext. 222 / FAX: ext. 655
www.elastix.org
Guayaquil - Ecuador

Follow me  on Twitter / Sigueme en Twitter: http://twitter.com/polestrella

El 26/03/12 10:53, Danny Acosta Agudo escribió:
> Hola
>
> Tengo una duda suponiendo que no tengo ningún sistema de seguridad
> firewall o etc, si el sploit afecta a freepbx y Elastix 2.2 viene down
> existe algún riesgo?
>
> En donde podemos estudiar este fallo a mi modo de ver no es solo
> actualizar y ya es entender q sucedió " y no comer entero" como trabaja
> ese código q enviaron por inyección en web?
> PD
> Como primer comentario da miedo que freepbx haya sufrido 2 fallas de
> seguridad tan directas y lo peor enterarnos por un twiet
>
> Una vez mas comprobamos que si hay una buena seguridad y responsabilidad
> esas fallas son cubiertas.
>
>
>
>
>  > From: eolivodos en hotmail.com
>  > To: general-es en lists.elastix.org
>  > Date: Mon, 26 Mar 2012 10:17:03 -0400
>  > Subject: Re: [Elastix General-es] Exploit Elastix
>  >
>  > Buenos días
>  >
>  > He realizado la actualización del "freePBX" sobre la 2.0.3 con éxito,
> pero
>  > observo que se agregó al CRON la siguiente tarea:
>  >
>  > 23 * * * * /var/lib/asterisk/bin/freepbx-cron-scheduler.php
>  >
>  > Pregunto esto es normal????
>  >
>  > saludos
>  > --------------------------------------------------
>  > From: "Paul Estrella" <pestrella en elastix.org>
>  > Sent: Sunday, March 25, 2012 11:53 AM
>  > To: "Lista general de discusion en Espanol"
> <general-es en lists.elastix.org>
>  > Subject: Re: [Elastix General-es] Exploit Elastix
>  >
>  > > Gerardo, estimados
>  > >
>  > > Ya está publicado en los foros:
>  > >
>  > >
> http://www.elastix.org/index.php/en/component/kunena/29-announcements/99203-actualizacion-necesaria-de-freepbx-en-elastix.html
>  > >
>  > > Los moderadores del foro en inglés y francés han hecho los mismo.
>  > >
>  > > Estamos preparando una sección adecuada en Elastix.org para que todos
>  > > los updates de seguridad y actualización se publiquen adecuadamente.
>  > >
>  > >
>  > > Regards
>  > >
>  > > Paul Estrella
>  > > Product Development
>  > > PALOSANTO SOLUTIONS
>  > > EC: +593-4-2294440 / USA: +1-877-3527849
>  > > Ext. 222 / FAX: ext. 655
>  > > www.elastix.org
>  > > Guayaquil - Ecuador
>  > >
>  > > Follow me on Twitter / Sigueme en Twitter:
> http://twitter.com/polestrella
>  > >
>  > > El 25/03/12 10:32, Paul Estrella escribió:
>  > >> Lo vamos a publicar en los foros hasta mañana.
>  > >>
>  > >> Regards
>  > >>
>  > >> Paul Estrella
>  > >> Product Development
>  > >> PALOSANTO SOLUTIONS
>  > >> EC: +593-4-2294440 / USA: +1-877-3527849
>  > >> Ext. 222 / FAX: ext. 655
>  > >> www.elastix.org
>  > >> Guayaquil - Ecuador
>  > >>
>  > >> Follow me on Twitter / Sigueme en Twitter:
>  > >> http://twitter.com/polestrella
>  > >>
>  > >> El 25/03/12 2:22, Gerardo Barajas escribió:
>  > >>> Paul,
>  > >>> ¿podrían hacer oficial el anuncio?
>  > >>> No solo en la lista, sino en la página. Please :)
>  > >>>
>  > >>> Saludos/Regards
>  > >>> --
>  > >>> Ing. Gerardo Barajas Puente
>  > >>>
>  > >>> Ingeniería | www.neocenter.com<http://www.neocenter.com>
>  > >>> T:+52 (55) 8590-9000 x 7003
>  > >>>
>  > >>>
>  > >>> 2012/3/24 Paul Estrella<pestrella en elastix.org
>  > >>> <mailto:pestrella en elastix.org>>
>  > >>>
>  > >>> Para los que no pudieron leer el mail de Alex Villacís.
>  > >>>
>  > >>> Ya hay una actualización disponible para resolver este problema y
>  > >>> se
>  > >>> recomienda hacer la actualización de manera inmediata.
>  > >>>
>  > >>> La actualización se debe hacer desde consola de la siguiente
>  > >>> manera:
>  > >>>
>  > >>> yum update freePBX
>  > >>>
>  > >>> Regards
>  > >>>
>  > >>> Paul Estrella
>  > >>> Product Development
>  > >>> PALOSANTO SOLUTIONS
>  > >>> EC: +593-4-2294440 / USA: +1-877-3527849
>  > >>> Ext. 222 / FAX: ext. 655
>  > >>> www.elastix.org<http://www.elastix.org>
>  > >>> Guayaquil - Ecuador
>  > >>>
>  > >>> Follow me on Twitter / Sigueme en Twitter:
>  > >>> http://twitter.com/polestrella
>  > >>>
>  > >>> El 24/03/12 11:49, Alex Neuman van der Hans escribió:
>  > >>> > El problema es incluso cuando abres SIP, ya que si tienes las
>  > >>> cosas lo
>  > >>> > suficientemente mal configuradas te pueden "meter un gol".
>  > >>> >
>  > >>> > 2012/3/23 Gerardo Barajas<gerardo.barajas en gmail.com
>  > >>> <mailto:gerardo.barajas en gmail.com>
>  > >>> > <mailto:gerardo.barajas en gmail.com
>  > >>> <mailto:gerardo.barajas en gmail.com>>>
>  > >>> >
>  > >>> > Si solo lo haces puramente SIP, no creo que haya problemas.
>  > >>> > El problema es cuando se abren TODOS los puertos.
>  > >>> >
>  > >>> >
>  > >>> > Saludos/Regards
>  > >>> > --
>  > >>> > Ing. Gerardo Barajas Puente
>  > >>> >
>  > >>> > Ingeniería | www.neocenter.com<http://www.neocenter.com>
>  > >>> <http://www.neocenter.com>
>  > >>> > T:+52 (55) 8590-9000 x 7003
>  > >>> > <tel:%2B52%20%2855%29%C2%A0%208590-9000%20x%207003>
>  > >>> >
>  > >>> >
>  > >>> > On Fri, Mar 23, 2012 at 5:51 PM, Alex Neuman
>  > >>> <alexneuman en gmail.com<mailto:alexneuman en gmail.com>
>  > >>> > <mailto:alexneuman en gmail.com<mailto:alexneuman en gmail.com>>>
>  > >>> wrote:
>  > >>> >
>  > >>> > Una razón más para tener mucho cuidado con permitir
>  > >>> servicios de
>  > >>> > cara al Internet.
>  > >>> >
>  > >>> > On Mar 23, 2012, at 4:42 PM, info.diego en gmail.com
>  > >>> <mailto:info.diego en gmail.com>
>  > >>> > <mailto:info.diego en gmail.com<mailto:info.diego en gmail.com>>
>  > >>> wrote:
>  > >>> >
>  > >>> > > Lo vi en twetter y me parecio bueno compartilo
>  > >>> > > Aun no tuve tiempo de probar y ver bien lo que hace
>  > >>> > >
>  > >>> > > Saludos!!
>  > >>> > >
>  > >>> > > @exploitdb: [webapps] - FreePBX 2.10.0 / Elastix 2.2.0
>  > >>> Remote
>  > >>> > Code Execution Exploit: FreePBX 2.10.0 / Elastix 2.2.0
>  > >>> Remot...
>  > >>> > http://bit.ly/GR1ZzN
>  > >>> > >
>  > >>> > > Enviado desde mi BlackBerry® device de Antel
>  > >>> > >
>  > >>> > > _______________________________________________
>  > >>> > > General-es mailing list
>  > >>> > >
>  > >>> General-es en lists.elastix.org<mailto:General-es en lists.elastix.org>
>  > >>> > <mailto:General-es en lists.elastix.org
>  > >>> <mailto:General-es en lists.elastix.org>>
>  > >>> > > http://lists.elastix.org/mailman/listinfo/general-es
>  > >>> >
>  > >>> >
>  > >>> > _______________________________________________
>  > >>> > General-es mailing list
>  > >>> > General-es en lists.elastix.org
>  > >>> <mailto:General-es en lists.elastix.org>
>  > >>> <mailto:General-es en lists.elastix.org
>  > >>> <mailto:General-es en lists.elastix.org>>
>  > >>> > http://lists.elastix.org/mailman/listinfo/general-es
>  > >>> >
>  > >>> >
>  > >>> >
>  > >>> > _______________________________________________
>  > >>> > General-es mailing list
>  > >>> > General-es en lists.elastix.org
>  > >>> <mailto:General-es en lists.elastix.org>
>  > >>> <mailto:General-es en lists.elastix.org
>  > >>> <mailto:General-es en lists.elastix.org>>
>  > >>> > http://lists.elastix.org/mailman/listinfo/general-es
>  > >>> >
>  > >>> >
>  > >>> >
>  > >>> >
>  > >>> > --
>  > >>> > Alex Neuman van der Hans
>  > >>> > Reliant Technologies
>  > >>> > +507 6781-9505
>  > >>> > +507 202-1525
>  > >>> > alex en rtpty.com<mailto:alex en rtpty.com> <mailto:alex en rtpty.com
>  > >>> <mailto:alex en rtpty.com>>
>  > >>> > Skype: alexneuman
>  > >>> >
>  > >>> >
>  > >>> > _______________________________________________
>  > >>> > General-es mailing list
>  > >>> >
>  > >>> General-es en lists.elastix.org<mailto:General-es en lists.elastix.org>
>  > >>> > http://lists.elastix.org/mailman/listinfo/general-es
>  > >>> _______________________________________________
>  > >>> General-es mailing list
>  > >>> General-es en lists.elastix.org<mailto:General-es en lists.elastix.org>
>  > >>> http://lists.elastix.org/mailman/listinfo/general-es
>  > >>>
>  > >>>
>  > >>>
>  > >>>
>  > >>> _______________________________________________
>  > >>> General-es mailing list
>  > >>> General-es en lists.elastix.org
>  > >>> http://lists.elastix.org/mailman/listinfo/general-es
>  > >> _______________________________________________
>  > >> General-es mailing list
>  > >> General-es en lists.elastix.org
>  > >> http://lists.elastix.org/mailman/listinfo/general-es
>  > >>
>  > > _______________________________________________
>  > > General-es mailing list
>  > > General-es en lists.elastix.org
>  > > http://lists.elastix.org/mailman/listinfo/general-es
>  > >
>  > _______________________________________________
>  > General-es mailing list
>  > General-es en lists.elastix.org
>  > http://lists.elastix.org/mailman/listinfo/general-es
>
>
> _______________________________________________
> General-es mailing list
> General-es en lists.elastix.org
> http://lists.elastix.org/mailman/listinfo/general-es


Más información sobre la lista de distribución General-es