Καλησπέρα.
Για 2η φορά έφαγα επίθεση στο ucm 6302 που έχω με αποτέλεσμα να γίνουν εξερχόμενες και κλήσεις-χρεώσεις.
Την πρώτη φορά, κατάφεραν να παραβιάσουν το gdms account και μπήκαν από εκεί.
Έπαθα και "νόμιζα" οτι έμαθα.
Έβαλα
- 2factor authenticator
- fail2ban
- acl policy μόνο από τοπικό δίκτυο εκτος από κάποια remote extentions με wav/gdms.
- αλλαγή όλων των passwords σε extention, trunk, ucm
Κ όμως έγινε. Κατάφεραν να μπούνε, πιθανότατα μέσα σε ένα extention, που ήταν συνδεδεμένο σε imac/wave softphone, με τοπική ip και acl.
Δεν είδα καμία άλλη κίνηση στα logs του ucm.
Μπορείτε να το ερμηνέυσετε;
Προτάσεις για βελτίωση της ασφάλειας;
Εμφάνιση 1-14 από 14
-
06-10-23, 18:56 UCM63XX hacked - Ρυθμίσεις Ασφάλειας #1
-
06-10-23, 19:04 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #2
Βγαινει στο internet η sip port?
-
06-10-23, 19:51 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #3
Για να σε βρίσκουν έχεις κάτι ανοιχτό sip ή https.
-
06-10-23, 20:35 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #4
-
06-10-23, 22:12 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #5
αφου δεν εχεις port forwards τι να κλεισεις?
Remote extentions μεσω gdms?? Μαλλον θα πρεπει να σου εξηγησει η grandstream
Αυτο το εχεις μελετησει ? https://www.grandstream.com/hubfs/Pr...ity_Manual.pdf
Θα πρεπει να βρεις ΠΩΣ μπηκαν. Απο κει ξεκινανε ολα.
-
06-10-23, 23:02 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #6
Διαβάζω το παρακάτω οδηγό
https://www.google.gr/url?sa=t&sourc...mKMZ_TCZnoyMKP
και αναφέρει ότι θέλει port forward για να δουλέψει το wave σε remote users.
Εσένα πως κάνανε register αν τα είχες όλα κλειστά, VPN;
Επίσης είσαι σε cosmote;
-
07-10-23, 09:20 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #7
-
07-10-23, 09:50 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #8
Σιγα που προσπαθησαν.
Εχεις ανοιχτες πορτες στο internet και σε σκαναρουν διαφοροι. Συμβαινει καθημερινα.
Βεβαια οτι τους εκανες unblock μολις σε 10 λεπτα σε κανει καπως large.
Οσο για το μονιμο ban, τους παλεστινιους τους βρηκες η όχι ακομα? (ειναι κατι παιδια απο τη γαζα, που βγαζουν το ψωμακι τους ψαχνοντας ανοιχτα sip.)
O ευκολος τροπος ειναι να μαντεψουν ευκολα passwords
Ο δευτερος, ισως δυσκολοτερος αλλα αν υπαρξει δεν σε σωζει τιποτε, ειναι να υπάρχει κατι που να ξεπερναει το password protection,
Γενικοτερα, εδω και παρα πολλα χρονια, τετοια κρισιμα πραγματα στο internet απλα δεν τα βγαζουμε μονο με ενα password. Και προφανως δεν υπαρχει 2fa στο sip.
Ανοιχτες πορτες στo internet, αν το θες σε καποια κλιμακα, θες sbc. Αλλιως χρειαζεσαι να βρεις αλλο τροπο.
Για αρχη να θεωρησουμε οτι όποτε βγαινει νεα version για το ucm την περνας αμεσως. Επισης το web interface δεν ειναι προσβασιμο απο το internet . Ναι?
-
07-10-23, 10:23 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #9
Σε χτυπάνε στην 5061 οπότε κάτι έχεις αφήσει ανοιχτό στο firewall του ucm ή στο firewall του router σου.
Κάνε whitelist τις IP της παρακάτω λίστας και μπλόκαρε όλα τα υπόλοιπα.
Φυσικά κανείς whitelist τα τοπικά σου δίκτυα.
https://www.gdms.cloud/server/info/index.html/#/
Αν συνεχίζεις να έχεις θέμα καλύτερα μιλά με την grandstream γιατί τότε έχουν κάποια τρύπα στο software τους.
-
07-10-23, 11:55 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #10
Hardware provided cloud service?
O ιδανικος στοχος για take over.
Κατα καιρους εχουμε ακουσει διαφορα για αυτη τη κατηγορια cloud services. Μπορει να ειναι οι καλυτεροι, αλλα εδω μαλλον εδω ισχυει το μοναχος σου χορευε..
Δεν ξερουμε το use case, αλλα ισως να χρειαζεαται αλλη προσεγγιση τελειως. πχ εκτροπη κλησης, vpn.
-
07-10-23, 12:58 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #11
Μόνο μια πόρτα έχω ανοιχτή. Αυτή του καταγραφικού.
Το μάζεψα και αυτό σε μόνιμο αποκλεισμό.
Έχεις περισσότερες πληροφορίες για αυτό;
Αυτό φοβάμαι κ εγώ.
Από πλευράς μου υπάρχει. Στο μόνο που δεν υπάρχει, είναι ο συνδιασμός wave/remote extention, αλλά εκεί, υποθέτω, ότι υπήρχε προστασία απο grandstream αφού το παρέχει σαν υπηρεσία.
Φορώντας το ποιο πρόσφατο firmware την πάτησα. Η μόνη πρόσβαση που έχω από το internet είναι μέσω gdms και 2factor authentication.
Χρησιμοποιεί κάποιος άλλος το gdms.cloud; Έχετε ακούσει άλλη περίπτωση αντίστοιχη με τη δική μου;
-
07-10-23, 13:03 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #12
Αυτό που εννοεί ο netblues είναι ότι το 2factor υπάρχει μόνο για να συνδεθείς στο gui ή να ξεκλειδώσεις το app. Από κάτω ο asterisk που τρέχει στο ucm χρειάζεται μόνο username και password. Οπότε αν κάπως βρίσκουν το ucm δεν έχει σημασία τι έχεις κάνει σαν extra security σε επίπεδο χρήστη. Ξαναδες τους κανόνες στο firewall κάπως μπαίνουν μέσα.
-
07-10-23, 13:09 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #13
Με λίγα λόγια, θα έκλεινα ότι βγαίνει έξω (και το cloud της grandstream),
και ότι ext θέλει να κάνει register στο pbx θα μπει remotely στο lan από vpn-proper.
Και η grandstream έχει ιστορικό απο cves, και το cloud του κινέζου δεν ξέρεις πόσο safe είναι,
και δεν ξέρεις τι σκουπίδι μπορεί να τρέχει στα pc/smartphones των χρηστών
και που μπορεί να φτάσουν τα sip credentials.
Οπότε, έχεις κλειστό το pbx στην wan,
και όποιος θέλει να συνδεθεί -> vpn-in.
Που και πάλι υπό προϋποθέσεις μπορεί να σε χακέψουν, αλλά το κάνεις *πολύ* πιο δύσκολο.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
07-10-23, 13:21 Απάντηση: UCM63XX hacked - Ρυθμίσεις Ασφάλειας #14
Αν και δεν έχω δουλέψει το συγκεκριμένο, μου φαίνεται περίεργο που τόσο εύκολα μπόρεσε κάποιος να μπει σε κάποιο extension και να αρχίσει να κάνει κλήσεις.
Επειδή υποστηρίζω αρκετά PBX με 3cx και αναγκαστικά πρέπει να ανοιχθούν αρκετές πόρτες για να δουλεύει και εκτός του φυσικού χώρου (mobile apps, sbc) εκτός και αν πας πλήρως σε vpn που οι περισσότεροι δεν το θέλουν, δεν έχει παρουσιαστεί (ακόμα ; ) τέτοιο θέμα.
Βέβαια δεν βάζω ποτέ default ports αλλά αν σε βάλουν στο μάτι δεν σε σώζει αυτό.
Πιθανώς το saving grace είναι το provisioning των extensions από τη μάνα του έχει 10 ψηφία random κωδικούς και permanent ban αν κάνεις πολλά λάθη σε σύντομο διάστημα.
Στην περίπτωση σου όπως είπαν και οι υπόλοιποι (ειδικά αν δεν έχεις πολλούς mobile clients) σύνδεσε τα όλα με ένα tailscale/zerotier/twingate και κλείσε στο κέντρο την υπόλοιπη επικοινωνία με τον έξω κόσμο.
Bookmarks