Negli ultimi due anni abbiamo gestito almeno quattro incidenti di sicurezza legati ad apparati VOIP “apparentemente” non esposti su Internet.
Il fatto di non essere esposti direttamente porta le aziende a non prestare particolare attenzione agli aggiornamenti dei voice-gateway, al controllo degli eventi generati ed in generare all’hardening della loro configurazione.
Questo tipo di attacchi ha come unico scopo (per ora) quello di generare traffico telefonico verso numeri a pagamento come per esempio satellitari o particolarmente costosi, qualche ora di traffico telefonico può tradursi in qualche migliaia di EURO di bolletta.
Gli attacchi sfruttano tre vettori:
- device come PBX o gateway VOIP esposti verso Internet e non particolarmente protetti
- implementazioni errate o vulnerabili di SIP inspection o SIP ALG (Application Layer Gateway) sui firewall
- NAT Slipstream con l’aiuto di un host interno
Il primo caso è il più semplice e c’è poco da approfondire (purtroppo), chi ha esposto un servizio SIP ad Internet saprà benissimo che è un continuo di brute-force, enumeration e tentativi di attacco tutti spesso riconoscibili dallo user-agent SIPvicious (nemmeno quello cambiano prima di lanciare lo scan).
In questo caso però l’azienda è a conoscenza del rischio e solitamente, anche con l’aiuto di VPN, Fail2Ban e IPS sul firewall, ci cerca di mitigarlo.
Per gli altri due casi invece nessuno si aspetta che l’attacco provenga dall’esterno e nella fase iniziale della gestione dell’incidente si perde molto tempo nella ricerca del colpevole all’interno della rete (mancanza di log adeguati e accesso ai device non aiutano nella confusione).
Analizzando nel dettaglio il traffico si vedono degli INVITE SIP provenienti da IP esterni e diretti all’IP interno del device VOIP nonostante questo non sia pubblicato su Internet.
Queste le attività per mitigare il rischio che consigliamo:
- aggiornamento dei firewall e verifica delle configurazioni legate alla gestione del traffico SIP (Inspection / ALG)
- implementazione di policy IPS/IDS per identificare brute-force o user-agent legati a software per attacchi VoIP
- ACL sui voice-gateway per accettare connessioni solo dai device trusted e interni
- implementazione di VLAN dedicate per traffico VOIP con traffico verso le altre reti abilitato solo per casi specifici
- invio di log ad un SIEM per la loro analisi
La minaccia può provenire inoltre da apparati in gestione del provider e non configurati correttamente, è bene quindi chiedere ci sia sempre un firewall tra la WAN e il voicegateway.
Configurazioni che vediamo spesso invece permettono il bypass del firewall aziendale tramite i device VOIP, il provider quindi connette in parallelo voice-gateway e firewall dal router WAN.