Temat: Uwaga na ataki na Asteriski !!

z BOA jednego z operatorów dostałem maila takiej treści:

"Szanowni Panstwo,
W zwiazku z bardzo duzym nasileniem atakow na centrale Klienckie zbudowane na systemie Asterisk, kierujemy do Państwa prosbe o szczegolne zwrocenie uwagi na zabezpieczenia urzadzen. W ostatnim czasie wielu operatorow zanotowało liczne przypadki złaman zabezpieczeń na centralach opartych na oprogramowaniu Asterisk. Umozliwiło to wykonanie duzej ilości połączen na zagraniczne numery typu Premium, odpowiadajace naszym numerom 700. Do dotychczasowych właman dochodziło z wykorzystaniem typowego łączą Internetowego, ktore przez wielu Klientow jest wykorzystywane do realizacji połaczen VoIP. Problem nie dotyczył naszych Klientow wykorzystujacych łacze dedykowane do usługi VoIP, ktore w znaczacy sposob podnosi poziom zabezpieczenia rozwiazania opartego na oprogramowaniu Asterisk.
Operatorzy nie odpowiadaja za zabezpieczenia ze strony urzadzen Klienta i pomimo, ze ruch głosowy zostal wygenerowany w wyniku przestepstwa, nie zwalania to od zapłacenia rachunku, ktory z poziomu wymiany ruchu miedzynarodowego jest prawidłowy.
Z naszej strony sugerujemy podniesienie bezpieczenstwa uslug VOIP poprzez nastepujace kroki:

1 Rozwazanie wykorzystanie dedykowanego łacza do uslugi VoIP bez dostepu do Internetu
2 Weryfikacja i aktualizacja zabezpieczen urzadzen i serwerow wykorzystujacych oprogramowanie Asterisk.
3 Ciągły monitoring i aktualizacja systemu, oprogramowania urzadzen i central.
4 Przegladanie logow centrali.
5 Ustawianie dla urzadzen abonenckich trudnych do zgadniecia hasel
6 Zmiana domyslnej konfiguracji,
7 Wyłaczenie nieuzywanych funkcji, lub tych ktorych znaczenie nie jest znane.

W momencie zaobserwowania przez ............... wzmozonego ruchu, po konsultacji z Abonentem, jestesmy w stanie zablokowac rozmowy miedzynarodowe do czasu rozwiazania problemu przez Klienta. Jest to jednak dzialanie post factum, dlatego najistotniejsze jest zastosowanie odpowiednich zabezpieczen Panstwa sprzetu, ktore nie dopuszcza do wlamania. W razie jakichkolwiek watpliwosci pracownicy Biura Obsługi Abonenta są do Panstwa dyspozycji pod numerem Infolinii........."

Temat: Uwaga na ataki na Asteriski !!

Witam,
administruje kilkoma centralami w duzych firmach, wiekszosc z nich byla 'wystawiona na swiat' i fakt zarejestrowalem kilka atakow. Niestety jest to czeste jak akatki na ssh metoda brute-force czy metoda slownikowa.
Serwery zostaly przeniesione do sieci wewnetrznej.

Jakis czas temu przegladalem zasoby metasploita i znalazlem chyba 2 exploity, jeden dzialal na wersje 1.4.22 oraz 1.6.1.20-rc2

PozdrawiamAdam P. edytował(a) ten post dnia 13.07.10 o godzinie 15:48

Temat: Uwaga na ataki na Asteriski !!

W atakach przodują wirtualne instancje w chmurze amazona, który to, mówiąc delikatnie, nie radzi sobie kompletnie z problemem (często zaprzeczając jego istnieniu). Problem jest o tyle dotkliwy, że stosowana metoda słownikowa, nawet, jeśli nie doprowadzi do skutecznego włamania (i fraudu), jest kosztowna ze względu na wysycanie pasma oraz wyczerpywanie zasobów CPU serwera z asteriskiem. W skrajnych przypadkach może to prowadzić do DoSa (pytanie - czy to dobrze, bo szybko da się zidentyfikować problem, czy i tak to nikogo nie zainteresuje? :-)).

Sposobów walki z 'dowcipnisiami' jest wiele - od umieszczania PBXów dalej w strukturze sieci (ale to z kolei uniemożliwia URI calling), poprzez różnego rodzaju mechanizmy typu fail2ban, kończywszy na remedium przygotowanym przez autora skryptu, którego używają 'dowcipnisie', czyli elementów pakietu sipvicious (http://blog.sipvicious.org/2010/06/how-to-crash-sipvic....

Temat: Uwaga na ataki na Asteriski !!

W ciagu 15 dni:

164K 94M DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060

Z innej maszyny uptime 6 dni:

142K 68M DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060

Najwygodniej wpuszczac na ognio-murku na 5060 tylko znane adresy IP...

Temat: Uwaga na ataki na Asteriski !!

u nas w systemie do konta sip przypisuje sie adres ip badz klasu adresowe z którego ma sie laczyc klient reszta drop i jakos nikt nie narzeka

a wiadomosc przyslana od CDP :-)))

Temat: Uwaga na ataki na Asteriski !!

Adam P.:
Witam,
administruje kilkoma centralami w duzych firmach, wiekszosc z nich byla 'wystawiona na swiat' i fakt zarejestrowalem kilka atakow. Niestety jest to czeste jak akatki na ssh metoda brute-force czy metoda slownikowa.
Serwery zostaly przeniesione do sieci wewnetrznej.

Jakis czas temu przegladalem zasoby metasploita i znalazlem chyba 2 exploity, jeden dzialal na wersje 1.4.22 oraz 1.6.1.20-rc2

PozdrawiamAdam P. edytował(a) ten post dnia 13.07.10 o godzinie 15:48

asteriski maja to do siebie ze w przypadku ataku wywala sie sam demon i niestety usluga przestaje dzialac wiec warto sie zabezpieczyc wlasnie chocby tak jak napisal powyzej marcin wpuszczac tylko znane ipki