Unified Communication (電話、音声、ビデオ、IMなどのトラフィックをすべてTCP/IP上で運用すること)におけるセキュリティの記事。
ユニファイドコミュニケーションのセキュリティの勘所 - TechTargetジャパン
SIPとSCCPに関連した問題としては、各種のバッファオーバーフローのほか、SQLインジェクション攻撃の脆弱性などがある。
それは知らなかった。
調べて見ると、
SNOCER
ここに "SIP Message Tampering: THE SQL code INJECTION attack"という論文があり、SIPやSQLインジェクションの簡単な説明から、SIPメッセージにSQLを挿入する手法、実証実験(SIPクライアントとしてMicrosoft PortraitとOsip使用)、防御・検知の方法などが書かれている。防御方法としては、ゲートウェイを立ててフィルターする、SIPメッセージに電子書名をつける、SIPサーバーからDBにアクセスするユーザーの権限を絞る、など。
SES SIP SQL Injection | Research | VoIPshield Systems Inc.2008-04-01
AvayaのサーバーでSIP REQUESTにSQLコマンドを挿入して実行できてしまう。
SPIM Unauthenticated SQL Injection | Research | VoIPshield Systems Inc.
Avayaのサーバーでアカウント情報なしでSQLコマンドを挿入できてしまう。
Address Book SQL Injection | Research | VoIPshield Systems Inc.
Cisco Unified Communications Managerで、WebサーバーにSQLインジェクションの脆弱性がある。 これはSIPに関係するわけではないか。
Full Disclosure: Owning the internal network with SIP (part 1) and a Linksys Phone
LinksysのIP電話機に対して、脆弱性を利用してスクリプトを挿入する。
なるほど。
そうするとSIP用のファイアウォールというものが必要なわけで。
既にいくつか存在する。
Interex SIP Firewalls
Ingate Firewalls - enabling SIP-based VoIP also outside the enterprise
BorderWare SIPassure VoIP/SIP Security
ただしNATできることあたりが主な機能で、SQLインジェクションまで語っているところはなさそう。
Leave a comment