What are you Looking for?
Populate the sidearea with useful widgets. It’s simple to add images, categories, latest post, social media icon links, tag clouds, and more.
P: Phone:
E: Email:
A: Address:
Negli ultimi due anni abbiamo gestito almeno quattro incidenti di sicurezza legati ad apparati VOIP “apparentemente” non esposti su Internet.
Il fatto di non essere esposti direttamente porta le aziende a non prestare particolare attenzione agli aggiornamenti dei voice-gateway, al controllo degli eventi generati ed in generare all’hardening della loro configurazione.
Questo tipo di attacchi ha come unico scopo (per ora) quello di generare traffico telefonico verso numeri a pagamento come per esempio satellitari o particolarmente costosi, qualche ora di traffico telefonico può tradursi in qualche migliaia di EURO di bolletta.
Gli attacchi sfruttano tre vettori:
Il primo caso è il più semplice e c’è poco da approfondire (purtroppo), chi ha esposto un servizio SIP ad Internet saprà benissimo che è un continuo di brute-force, enumeration e tentativi di attacco tutti spesso riconoscibili dallo user-agent SIPvicious (nemmeno quello cambiano prima di lanciare lo scan).
In questo caso però l’azienda è a conoscenza del rischio e solitamente, anche con l’aiuto di VPN, Fail2Ban e IPS sul firewall, ci cerca di mitigarlo.
Per gli altri due casi invece nessuno si aspetta che l’attacco provenga dall’esterno e nella fase iniziale della gestione dell’incidente si perde molto tempo nella ricerca del colpevole all’interno della rete (mancanza di log adeguati e accesso ai device non aiutano nella confusione).
Analizzando nel dettaglio il traffico si vedono degli INVITE SIP provenienti da IP esterni e diretti all’IP interno del device VOIP nonostante questo non sia pubblicato su Internet.
Queste le attività per mitigare il rischio che consigliamo:
La minaccia può provenire inoltre da apparati in gestione del provider e non configurati correttamente, è bene quindi chiedere ci sia sempre un firewall tra la WAN e il voicegateway.
Configurazioni che vediamo spesso invece permettono il bypass del firewall aziendale tramite i device VOIP, il provider quindi connette in parallelo voice-gateway e firewall dal router WAN.