Asterisk закрывает шесть уязвимостей, в том числе допускающих чтение файлов и удалённое выполнение кода

Разработчики Asterisk выпустили комплексное обновление безопасности, закрывающее шесть уязвимостей в популярной платформе IP-телефонии. Проблемы затрагивают все поддерживаемые версии - от 20.x до 23.x, а также сертифицированные сборки 20 и 22. Некоторые из найденных дефектов позволяют злоумышленнику вызвать отказ в обслуживании, нарушить целостность данных или обойти политику безопасности, а в отдельных случаях - выполнить произвольный код.

Детали уязвимостей

Самый серьёзный удар пришёлся на механизм Asterisk REST Interface (ARI). Обнаружено две уязвимости, связанные с обходом ограничений read-only. CVE-2026-57202 (высокая степень опасности) позволяет атакующему, уже имеющему доступ к ARI с правами только на чтение, выполнять dialplan-функции записи, такие как FILE(). Это даёт возможность читать и записывать произвольные файлы на сервере. Вторая уязвимость CVE-2026-57200 (высокая, CVSS 8.8) затрагивает REST-over-WebSocket: при определённых условиях read-only пользователь может загрузить произвольный модуль Asterisk и, если модуль содержит полезную нагрузку, выполнить код на сервере. Разработчики подчёркивают, что оба вектора требуют включённого HTTP-сервера Asterisk (по умолчанию выключен) и доступа к нему из сети.

Две проблемы были обнаружены в дополнительном драйвере канала chan_ooh323, который реализует поддержку H.323 через протокол OOH323. CVE-2026-57184 (средняя) связана с чтением за пределами границ в парсере Q.931 - неправильно проверенные границы при обработке информационных элементов могут привести к аварийному завершению Asterisk. CVE-2026-57186 (высокая) оказалась следствием того, что исправление для CVE-2022-37325, выпущенное для ветки 20, не было перенесено в более новые версии. Речь идёт об аналогичной ошибке парсинга Q.931: злоумышленник может отправить вредоносный пакет и вызвать крах сервера. В проекте отметили, что драйвер chan_ooh323 не входит в стандартную сборку и его необходимо включать при компиляции.

В драйвере канала UNISTIM (chan_unistim) найдена уязвимость CVE-2026-57194 (средняя). Из-за некорректной обработки цифр в команде DIALPAGE возможна внеполосная запись в буфер phone_number. Атакующему для эксплуатации нужно отправить тщательно сформированный пакет - в случае успеха это вызовет падение Asterisk. Условия: модуль chan_unistim должен быть загружен, настроен на прослушивание UDP-порта, и злоумышленник должен иметь возможность доступа к этому порту.

Ещё одна уязвимость - CVE-2026-57187 (высокая) - обнаружена в механизме PJSIP при обработке SDP (Session Description Protocol) поверх TCP. Если аутентифицированный пользователь отправляет SIP-приглашение (INVITE) по ориентированному на соединение транспорту и сразу разрывает соединение до получения ответа 200 OK, может произойти освобождение памяти с её последующим использованием (heap-use-after-free). Примечательно, что воспроизвести проблему удалось только при сборке Asterisk с включённым Address Sanitizer - инструментом разработчика, который никогда не используется в production. Тем не менее разработчики сочли потенциальную угрозу достаточной для присвоения высокого уровня критичности.

Обновлённые версии: 20.20.1, 21.12.3, 22.10.1, 23.4.1, для сертифицированных сборок - 20.7-cert11 и 22.8-cert3. Во избежание рисков эксплуатации рекомендуется как можно скорее обновить системы до указанных версий. Команда Asterisk также напоминает, что модули, не используемые в конкретной конфигурации, следует отключать.

Описанные уязвимости затрагивают не только серверы операторов связи и корпоративные учреждения, активно применяющие Asterisk, но и любые организации, использующие эту платформу в качестве офисной АТС. Особого внимания заслуживает ситуация с CVE-2026-57186: то, что исправление старой уязвимости не было своевременно перенесено в следующие ветки, указывает на необходимость более тщательного контроля за портированием патчей безопасности.

Детали уязвимостей

Ссылки