關于RTP協議實現存在信息泄露漏洞（RTP Bleed）的安全公告

       近日，國家信息安全漏洞共享平臺（CNVD）收錄了RTP信息泄露漏洞（CNVD-2017-26420,發現者命名為“RTP Bleed”），攻擊者利用漏洞在不需要中間人身份的情況下，實現偽造音頻注入，盜取音視頻流或劫持語音通信，構成信息泄露和拒絕服務風險。由于RTP協議的實現涉及較為廣泛的中間件或應用軟件，有可能造成大規模的影響。

       一、漏洞情況分析

       RTP實時傳輸協議（Real-time Transport Protocol）是一種標準網絡傳輸協議，RTP協議主要實現在互聯網上傳遞音頻和視頻的標準數據包格式。RTP協議通常和RTP控制協議（RTCP）以及音視頻流應用協議(H.323、 SIP)一起使用，廣泛應用于流媒體相關的通訊和娛樂（如：網絡電話、視頻會議、網絡電視和基于網絡的一鍵通業務）。

       近期，國外安全研究公司EnableSecurity的安全研究人員Klaus-Peter Junghanns和Sandro Gauci在測試中發現了RTP協議實現的信息泄露漏洞，并命名為“RTP Bleed”。RTP Bleed漏洞和RTP協議的設計雖有關聯，但主要還是存在于RTP 代理（Proxy）的具體實現上。RTP代理主要通過在兩個或多個參與方之間代理RTP流來解決影響RTC系統的NAT限制，RTP代理由于不能直接信任流數據中的RTP IP和端口信息，而是以“學習模式”檢查傳入的RTP流量但又不使用身份驗證機制。這使得攻擊者可以直接接收RTP流媒體數據，且不需要中間人攻擊條件。除上述攻擊可能外，由于 RTP代理和RTP協議堆棧在實現上輕易接受、轉發或處理來自任何源的RTP包，因此攻擊者可以發送特定構造的RTP數據包，注入至RTP流中。以上這兩種攻擊機制有可能導致流媒體信息泄露、會話劫持修改和拒絕服務。例如：攻擊者可以將監聽正在進行的電話呼叫或音視頻會議。

CNVD對漏洞的綜合評級均為“高危”。

       二、漏洞影響范圍

       該漏洞影響十分廣泛，可直接影響或間接影響到基于RTP協議的產品供應商或服務提供商。根據當前測試結果，確認已知受影響的產品如下：Asterisk 14.4.0、TPproxy (tested 1.2.1-2ubuntu1 and RTPproxy 2.2.alpha.20160822 (git))。

       漏洞命名雖然參考了OpenSSL心臟滴血“HeartBleed”漏洞,但原理不完全相同。HeartBleed是因OpenSSL組件漏洞而泄露內存信息，RTPBleed是由于RTP協議實現缺陷而導致RTP流數據包存在暴露風險。

       三、漏洞處置建議 

       當前各方還未給出正式的解決方案，當前推薦的臨時解決方案是建議在各類產品和中間件中啟用安全實時傳輸協議（SRTP），可以避免機密性和完整性不受到影響。SRTP可以與其他技術措施（例如使用靜態IPS、支持ICE和STUN authentication等）相結合，可以避免對攻擊途徑的暴露。例如：WebRTC通過強制使用SRTP協議，就未受到漏洞的影響。

       附：參考鏈接：

        https://www.rtpbleed.com/#the-rtp-bleed-bug

        https://github.com/kapejod/rtpnatscan

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-26420