Si tenés instalada alguna central telefónica basada en Asterisk, cuidado. La empresa publicó dos informes de seguridad, que podrás encontrar aquí y en esta otra página de Asterisk Punto Org. Para no aburrirte, en el primer caso es el producto principal, Asterisk, que puede dejarse “colgado” si se le hace llegar un mensaje “especialmente conformado” (ni en curda te diré cómo).
Pero no sólo de un “denial of service” se trata, porque si no se cuelga, queda abierta una puerta de entrada al sistema. En el segundo caso, es un Asterisk Addon en que tiene un “problemita de programación” cuyo <penalty> es, otra vez, que luego de la llegada de cierto mensaje, el sistema o se cuelga o deja entrar al intruso. Porque en los dos casos, las notas de seguridad dicen lacónicamente “Susceptibility: Remote Unauthenticated Sessions”. Lo cual se traduce/adapta en que se pueden producir sesiones remotas sin autenticar. En criollo, al atacante nadie le pide username y password. Y entró en tu red telefónica como si fuera tu secretaria, y en el servidor como si fuera el administrador. ¿Ahora te quedó claro?