Kaum installiert und schon "Gäste"

Support
1

Hallo,

das ist heftig - wieso sehe ich nicht von welcher IP sich da jemand Zugang verschaffen will?
Kaum neu aufgesetzt, sehe ich diese Zugriffe auf die Anlage - ich gehe mal nicht davon aus, dass eine frische Installation diese Nummer kennt.

-- Executing [00972597686409@no-auth-in:1] Gosub("SIP/192.168.10.123-00000007", "sub_emergency-check,s,1(00972597686409)") in new stack
-- Executing [s@sub_emergency-check:1] Verbose("SIP/192.168.10.123-00000007", "1,sub_emergency-check:: exten: 00972597686409 - descent: ") in new stack

sub_emergency-check:: exten: 00972597686409 - descent:
– Executing [s@sub_emergency-check:2] GotoIf(“SIP/192.168.10.123-00000007”, “1?00972597686409,1”) in new stack
– Goto (sub_emergency-check,00972597686409,1)
– Channel ‘SIP/192.168.10.123-00000007’ sent to invalid extension: context,exten,priority=sub_emergency-check,00972597686409,1
– Executing * Return(“SIP/192.168.10.123-00000007”, “”) in new stack
– Executing [00972597686409@no-auth-in:2] GotoIf(“SIP/192.168.10.123-00000007”, “0?mdc_emergency,dial,1:mdc_emergency,invalid,1”) in new stack
– Goto (mdc_emergency,invalid,1)
– Executing [invalid@mdc_emergency:1] NoOp(“SIP/192.168.10.123-00000007”, “mdc_emergency:: is no emergency call”) in new stack
– Executing [invalid@mdc_emergency:2] Answer(“SIP/192.168.10.123-00000007”, “”) in new stack
– Executing [invalid@mdc_emergency:3] Playback(“SIP/192.168.10.123-00000007”, “beeperr”) in new stack
– <SIP/192.168.10.123-00000007> Playing ‘beeperr.slin’ (language ‘en’)
– Executing [invalid@mdc_emergency:4] Hangup(“SIP/192.168.10.123-00000007”, “20”) in new stack
== Spawn extension (mdc_emergency, invalid, 4) exited non-zero on ‘SIP/192.168.10.123-00000007’*

2

Hi foxpalace,

das ist nicht schön. Scheinbar steht deine Anlage mit dem SIP Port 5060 im Internet, das solltest du ändern, siehe auch hier:

https://wiki.pascom.net/confluence/display/MD79DE/MobyDick+7+Sicherheitshinweise

Noch scheint hier nichts passiert zu sein, der Angreifer setzt ohne Authentifizierung einen Call auf 00972597686409 (Israel) ab und landet im Kontext no-auth-in, hier sind nur die im Notrufmodul hinterlegten Nummern zulässig (112,110), folglich wird der Anruf abgewiesen.

Wenn du jetzt noch das Log /var/log/asterisk/messages überprüft wirst du vermutlich eine aktive Bruteforce Attacke sehen die versucht an gültige Credentials zu gelangen, solange du keine manuellen SIP Peers mit unsicheren Passwörtern angelegt hast sind die Daten aber nicht durch Bruteforce zu erraten. Wir generieren bei den von uns angelegten Peers sehr lange Benutzernamen und Passwörter. Trotzdem handelt es sich um eine nicht zu unterschätzende Bedrohung die du durch eine korrekte Konfiguration deiner Firewall so schnell wie möglich aus der Welt schaffen solltest.

Schönen Gruß,
Tom

3

Hi foxpalace,

vielleicht schaust Du Dir mal dieses Video von der Kamailio World 2014 an: https://www.youtube.com/watch?v=HIovMdl1cn8 (ab Timestamp 7:50)
Du wirst sehen das die Israelische Nummer kein Zufall ist und eine Anlage mit offenem Sip Stack ziemlich schnell aufgefunden wird.

Gruß,

Thomas