Attacchi a voice-gateway non esposti verso Internet

Negli ultimi due anni abbiamo gestito almeno quattro incidenti di sicurezza legati ad apparati VOIP “apparentemente” non esposti su Internet.

Il fatto di non essere esposti direttamente porta le aziende a non prestare particolare attenzione agli aggiornamenti dei voice-gateway, al controllo degli eventi generati ed in generare all’hardening della loro configurazione.

Questo tipo di attacchi ha come unico scopo (per ora) quello di generare traffico telefonico verso numeri a pagamento come per esempio satellitari o particolarmente costosi, qualche ora di traffico telefonico può tradursi in qualche migliaia di EURO di bolletta.

Gli attacchi sfruttano tre vettori:

• device come PBX o gateway VOIP esposti verso Internet e non particolarmente protetti
• implementazioni errate o vulnerabili di SIP inspection o SIP ALG (Application Layer Gateway) sui firewall
• NAT Slipstream con l’aiuto di un host interno

Il primo caso è il più semplice e c’è poco da approfondire (purtroppo), chi ha esposto un servizio SIP ad Internet saprà benissimo che è un continuo di brute-force, enumeration e tentativi di attacco tutti spesso riconoscibili dallo user-agent SIPvicious (nemmeno quello cambiano prima di lanciare lo scan).

In questo caso però l’azienda è a conoscenza del rischio e solitamente, anche con l’aiuto di VPN, Fail2Ban e IPS sul firewall, ci cerca di mitigarlo.

Per gli altri due casi invece nessuno si aspetta che l’attacco provenga dall’esterno e nella fase iniziale della gestione dell’incidente si perde molto tempo nella ricerca del colpevole all’interno della rete (mancanza di log adeguati e accesso ai device non aiutano nella confusione).

Analizzando nel dettaglio il traffico si vedono degli INVITE SIP provenienti da IP esterni e diretti all’IP interno del device VOIP nonostante questo non sia pubblicato su Internet.

Queste le attività per mitigare il rischio che consigliamo:

• aggiornamento dei firewall e verifica delle configurazioni legate alla gestione del traffico SIP (Inspection / ALG)
• implementazione di policy IPS/IDS per identificare brute-force o user-agent legati a software per attacchi VoIP
• ACL sui voice-gateway per accettare connessioni solo dai device trusted e interni
• implementazione di VLAN dedicate per traffico VOIP con traffico verso le altre reti abilitato solo per casi specifici
• invio di log ad un SIEM per la loro analisi

La minaccia può provenire inoltre da apparati in gestione del provider e non configurati correttamente, è bene quindi chiedere ci sia sempre un firewall tra la WAN e il voicegateway.

Configurazioni che vediamo spesso invece permettono il bypass del firewall aziendale tramite i device VOIP, il provider quindi connette in parallelo voice-gateway e firewall dal router WAN.