Шестого мая 2026 года разработчики популярной платформы для телефонии Asterisk опубликовали информацию сразу о четырех уязвимостях, затрагивающих несколько веток продукта. Все проблемы обнаружены в сторонней библиотеке pjproject, которую Asterisk использует для обработки мультимедийных протоколов. Уязвимости позволяют удаленному атакующему, прошедшему аутентификацию, вызвать аварийное завершение процесса или повредить память. Хотя производители оценили критичность каждой проблемы как низкую, в определенных конфигурациях их эксплуатация может привести к отказу в обслуживании или даже к частичной утечке данных.
Детали уязвимостей
Asterisk - это программная АТС с открытым исходным кодом, широко применяемая в корпоративном секторе, у операторов связи и в системах VoiP. Поэтому любые уязвимости в ней потенциально угрожают стабильности телефонных сетей. В данном случае все четыре уязвимости находятся в библиотеке pjproject, отвечающей за работу протоколов SIP (протокол установления сеансов связи) и RTP (транспортный протокол реального времени). Разработчики Asterisk выпустили исправления для всех поддерживаемых версий.
Первая проблема (CVE‑2026‑33069) - это чтение за пределами выделенной памяти в куче при разборе multipart‑сообщений SIP. Если злоумышленник отправит специально сформированное составное сообщение, Asterisk может попытаться прочитать один-два байта за границами допустимой области. В результате процесс аварийно завершится или возникнет искажение данных. Атака возможна только после успешной аутентификации.
Вторая уязвимость (CVE‑2026‑25994) связана с переполнением буфера при обработке длинных имен пользователей в рамках протокола ICE (интерактивное установление соединений). Модуль res_rtp_asterisk использует ICE для согласования параметров звонка. Если имя пользователя ICE окажется чрезмерно длинным, может произойти переполнение буфера, что опять же приведет к падению процесса или повреждению памяти. Условия эксплуатации требуют включенной поддержки ICE на конечной точке Asterisk и аутентификации атакующего.
Третья уязвимость (CVE‑2026‑32942) представляет собой состояние гонки (race condition) в сеансах ICE. При определенных обстоятельствах - одновременное уничтожение сеанса ICE и выполнение функции обратного вызова - возникает использование памяти после её освобождения (use‑after‑free). Атакующему необходимо иметь возможность установить звонок и создать условие гонки, что существенно усложняет атаку.
Четвертая проблема (CVE‑2026‑28799) - это уязвимость типа use‑after‑free в куче при обработке отписки от событий присутствия (presence). Если конечная точка Asterisk настроена на приём подписок, злоумышленник после аутентификации может отправить запрос SUBSCRIBE с параметром Expires=0. В момент обработки отмены подписки происходит освобождение блока памяти, который затем может быть использован повторно, что приводит к сбою или записи в освобожденную область.
Все перечисленные уязвимости затрагивают несколько веток Asterisk: версии 20.18.x до 20.19.0, 21.12.x до 21.12.2, 22.8.x до 22.9.0, 23.2.x до 23.3.0, а также сертифицированные сборки certified‑asterisk 20.x до 20.7‑cert10 и 22.x до 22.8‑cert2. Разработчики уже выпустили соответствующие патчи. Пользователям настоятельно рекомендуется обновить Asterisk до указанных исправленных версий. Если мгновенное обновление невозможно, стоит временно отключить поддержку ICE и подписки на события присутствия, а также ограничить круг аутентифицированных пользователей.
Хотя каждая уязвимость имеет низкий балл по шкале CVSS, их совокупность повышает риск для организаций, использующих Asterisk в критической инфраструктуре. Злоумышленник, получивший легитимные учетные данные (например, через фишинг или утечку), может последовательно проэксплуатировать эти проблемы для дестабилизации работы телефонной сети. Особенно важно это для компаний, где качество связи напрямую влияет на бизнес-процессы: колл-центры, удаленные офисы, телемедицина.
В официальных бюллетенях на GitHub (GHSA‑f948‑v379‑526c, GHSA‑rrfc‑6662‑c6hm, GHSA‑x2f3‑ccvh‑2rr2, GHSA‑x6qg‑jfj6‑6f93) приведены подробные технические описания и ссылки на обновления. Специалистам по информационной безопасности рекомендуется ознакомиться с ними и провести аудит текущих версий Asterisk в своей среде. Своевременное применение патчей - единственный способ полностью исключить угрозу, поскольку публикация деталей уязвимостей может привести к появлению эксплойтов.
Таким образом, инцидент напоминает о важности контроля зависимостей в открытых проектах. Даже если основное приложение развивается активно, уязвимости в сторонних библиотеках могут оставаться незамеченными длительное время. Включайте регулярное сканирование компонентов и подписывайтесь на уведомления безопасности от производителя, чтобы оперативно реагировать на подобные угрозы.
Ссылки
- https://github.com/asterisk/asterisk/security/advisories/GHSA-f948-v379-526c
- https://github.com/asterisk/asterisk/security/advisories/GHSA-rrfc-6662-c6hm
- https://github.com/asterisk/asterisk/security/advisories/GHSA-x2f3-ccvh-2rr2
- https://github.com/asterisk/asterisk/security/advisories/GHSA-x6qg-jfj6-6f93
- https://www.cve.org/CVERecord?id=CVE-2026-25994
- https://www.cve.org/CVERecord?id=CVE-2026-28799
- https://www.cve.org/CVERecord?id=CVE-2026-32942
- https://www.cve.org/CVERecord?id=CVE-2026-33069
