UCM63XX hacked - Ρυθμίσεις Ασφάλειας

**tbt** · 06-10-23, 18:56

Καλησπέρα.

Για 2η φορά έφαγα επίθεση στο ucm 6302 που έχω με αποτέλεσμα να γίνουν εξερχόμενες και κλήσεις-χρεώσεις.

Την πρώτη φορά, κατάφεραν να παραβιάσουν το gdms account και μπήκαν από εκεί.

Έπαθα και "νόμιζα" οτι έμαθα.

Έβαλα
- 2factor authenticator
- fail2ban
- acl policy μόνο από τοπικό δίκτυο εκτος από κάποια remote extentions με wav/gdms.
- αλλαγή όλων των passwords σε extention, trunk, ucm

Κ όμως έγινε. Κατάφεραν να μπούνε, πιθανότατα μέσα σε ένα extention, που ήταν συνδεδεμένο σε imac/wave softphone, με τοπική ip και acl.

Δεν είδα καμία άλλη κίνηση στα logs του ucm.

Μπορείτε να το ερμηνέυσετε;

Προτάσεις για βελτίωση της ασφάλειας;

**netblues** · 06-10-23, 19:04

Βγαινει στο internet η sip port?

**astbox** · 06-10-23, 19:51

Για να σε βρίσκουν έχεις κάτι ανοιχτό sip ή https.

**tbt** · 06-10-23, 20:35

Αρχικό μήνυμα από netblues

Βγαινει στο internet η sip port?

Port forward δεν έχω. Μόνο το gdms cloud της grandstream.

Αρχικό μήνυμα από astbox

Για να σε βρίσκουν έχεις κάτι ανοιχτό sip ή https.

Υπάρχει επιλογή μέσα απο το ucm που μπορώ να τα απενεργοποιήσω;

**netblues** · 06-10-23, 22:12

αφου δεν εχεις port forwards τι να κλεισεις?

Remote extentions μεσω gdms?? Μαλλον θα πρεπει να σου εξηγησει η grandstream

Αυτο το εχεις μελετησει ? https://www.grandstream.com/hubfs/Pr...ity_Manual.pdf

Θα πρεπει να βρεις ΠΩΣ μπηκαν. Απο κει ξεκινανε ολα.

**astbox** · 06-10-23, 23:02

Διαβάζω το παρακάτω οδηγό

https://www.google.gr/url?sa=t&sourc...mKMZ_TCZnoyMKP

και αναφέρει ότι θέλει port forward για να δουλέψει το wave σε remote users.
Εσένα πως κάνανε register αν τα είχες όλα κλειστά, VPN;

Επίσης είσαι σε cosmote;

**tbt** · 07-10-23, 09:20

Δεν χρειάζεται port forward αν το remote extention χρησιμοποιεί το gdms.cloud της grandstream.

Δεν χρησιμοποιώ vpn και είμαι cosmote.

- - - Updated - - -

Αρχικό μήνυμα από netblues

Αυτο το εχεις μελετησει ? https://www.grandstream.com/hubfs/Pr...ity_Manual.pdf

Ναι. Νομίζω έχω αξιοποιήσει κάθε κομμάτι του firewall.

Σήμερα βράδυ, πάλι προσπάθησαν χωρίς επιτυχία.

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: Screenshot 2023-10-07 at 9.19.37 AM.png
Εμφανίσεις: 33
Μέγεθος: 185,6 KB
ID: 251295

Πλέον έβαλα μόνιμο ban.

**netblues** · 07-10-23, 09:50

Σιγα που προσπαθησαν.
Εχεις ανοιχτες πορτες στο internet και σε σκαναρουν διαφοροι. Συμβαινει καθημερινα.
Βεβαια οτι τους εκανες unblock μολις σε 10 λεπτα σε κανει καπως large.

Οσο για το μονιμο ban, τους παλεστινιους τους βρηκες η όχι ακομα? (ειναι κατι παιδια απο τη γαζα, που βγαζουν το ψωμακι τους ψαχνοντας ανοιχτα sip.)
O ευκολος τροπος ειναι να μαντεψουν ευκολα passwords
Ο δευτερος, ισως δυσκολοτερος αλλα αν υπαρξει δεν σε σωζει τιποτε, ειναι να υπάρχει κατι που να ξεπερναει το password protection,

Γενικοτερα, εδω και παρα πολλα χρονια, τετοια κρισιμα πραγματα στο internet απλα δεν τα βγαζουμε μονο με ενα password. Και προφανως δεν υπαρχει 2fa στο sip.

Ανοιχτες πορτες στo internet, αν το θες σε καποια κλιμακα, θες sbc. Αλλιως χρειαζεσαι να βρεις αλλο τροπο.

Για αρχη να θεωρησουμε οτι όποτε βγαινει νεα version για το ucm την περνας αμεσως. Επισης το web interface δεν ειναι προσβασιμο απο το internet . Ναι?

**astbox** · 07-10-23, 10:23

Σε χτυπάνε στην 5061 οπότε κάτι έχεις αφήσει ανοιχτό στο firewall του ucm ή στο firewall του router σου.
Κάνε whitelist τις IP της παρακάτω λίστας και μπλόκαρε όλα τα υπόλοιπα.
Φυσικά κανείς whitelist τα τοπικά σου δίκτυα.

https://www.gdms.cloud/server/info/index.html/#/

Αν συνεχίζεις να έχεις θέμα καλύτερα μιλά με την grandstream γιατί τότε έχουν κάποια τρύπα στο software τους.

**netblues** · 07-10-23, 11:55

Hardware provided cloud service?
O ιδανικος στοχος για take over.
Κατα καιρους εχουμε ακουσει διαφορα για αυτη τη κατηγορια cloud services. Μπορει να ειναι οι καλυτεροι, αλλα εδω μαλλον εδω ισχυει το μοναχος σου χορευε..

Δεν ξερουμε το use case, αλλα ισως να χρειαζεαται αλλη προσεγγιση τελειως. πχ εκτροπη κλησης, vpn.

**tbt** · 07-10-23, 12:58

Αρχικό μήνυμα από netblues

Εχεις ανοιχτες πορτες στο internet και σε σκαναρουν διαφοροι. Συμβαινει καθημερινα.

Μόνο μια πόρτα έχω ανοιχτή. Αυτή του καταγραφικού.

Αρχικό μήνυμα από netblues

Βεβαια οτι τους εκανες unblock μολις σε 10 λεπτα σε κανει καπως large.

Το μάζεψα και αυτό σε μόνιμο αποκλεισμό.

Αρχικό μήνυμα από netblues

Οσο για το μονιμο ban, τους παλεστινιους τους βρηκες η όχι ακομα?

Έχεις περισσότερες πληροφορίες για αυτό;

Αρχικό μήνυμα από netblues

μονιμο

Αυτό φοβάμαι κ εγώ.

Αρχικό μήνυμα από netblues

Γενικοτερα, εδω και παρα πολλα χρονια, τετοια κρισιμα πραγματα στο internet απλα δεν τα βγαζουμε μονο με ενα password. Και προφανως δεν υπαρχει 2fa στο sip.

Από πλευράς μου υπάρχει. Στο μόνο που δεν υπάρχει, είναι ο συνδιασμός wave/remote extention, αλλά εκεί, υποθέτω, ότι υπήρχε προστασία απο grandstream αφού το παρέχει σαν υπηρεσία.

Αρχικό μήνυμα από netblues

Για αρχη να θεωρησουμε οτι όποτε βγαινει νεα version για το ucm την περνας αμεσως. Επισης το web interface δεν ειναι προσβασιμο απο το internet . Ναι?

Φορώντας το ποιο πρόσφατο firmware την πάτησα. Η μόνη πρόσβαση που έχω από το internet είναι μέσω gdms και 2factor authentication.

Χρησιμοποιεί κάποιος άλλος το gdms.cloud; Έχετε ακούσει άλλη περίπτωση αντίστοιχη με τη δική μου;

**astbox** · 07-10-23, 13:03

Αυτό που εννοεί ο netblues είναι ότι το 2factor υπάρχει μόνο για να συνδεθείς στο gui ή να ξεκλειδώσεις το app. Από κάτω ο asterisk που τρέχει στο ucm χρειάζεται μόνο username και password. Οπότε αν κάπως βρίσκουν το ucm δεν έχει σημασία τι έχεις κάνει σαν extra security σε επίπεδο χρήστη. Ξαναδες τους κανόνες στο firewall κάπως μπαίνουν μέσα.

**K1m0n** · 07-10-23, 13:09

Με λίγα λόγια, θα έκλεινα ότι βγαίνει έξω (και το cloud της grandstream),
και ότι ext θέλει να κάνει register στο pbx θα μπει remotely στο lan από vpn-proper.
Και η grandstream έχει ιστορικό απο cves, και το cloud του κινέζου δεν ξέρεις πόσο safe είναι,
και δεν ξέρεις τι σκουπίδι μπορεί να τρέχει στα pc/smartphones των χρηστών
και που μπορεί να φτάσουν τα sip credentials.
Οπότε, έχεις κλειστό το pbx στην wan,
και όποιος θέλει να συνδεθεί -> vpn-in.
Που και πάλι υπό προϋποθέσεις μπορεί να σε χακέψουν, αλλά το κάνεις *πολύ* πιο δύσκολο.

**riddle3** · 07-10-23, 13:21

Αν και δεν έχω δουλέψει το συγκεκριμένο, μου φαίνεται περίεργο που τόσο εύκολα μπόρεσε κάποιος να μπει σε κάποιο extension και να αρχίσει να κάνει κλήσεις.

Επειδή υποστηρίζω αρκετά PBX με 3cx και αναγκαστικά πρέπει να ανοιχθούν αρκετές πόρτες για να δουλεύει και εκτός του φυσικού χώρου (mobile apps, sbc) εκτός και αν πας πλήρως σε vpn που οι περισσότεροι δεν το θέλουν, δεν έχει παρουσιαστεί (ακόμα ; ) τέτοιο θέμα.
Βέβαια δεν βάζω ποτέ default ports αλλά αν σε βάλουν στο μάτι δεν σε σώζει αυτό.

Πιθανώς το saving grace είναι το provisioning των extensions από τη μάνα του έχει 10 ψηφία random κωδικούς και permanent ban αν κάνεις πολλά λάθη σε σύντομο διάστημα.

Στην περίπτωση σου όπως είπαν και οι υπόλοιποι (ειδικά αν δεν έχεις πολλούς mobile clients) σύνδεσε τα όλα με ένα tailscale/zerotier/twingate και κλείσε στο κέντρο την υπόλοιπη επικοινωνία με τον έξω κόσμο.

Θέμα: UCM63XX hacked - Ρυθμίσεις Ασφάλειας

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές