What are you Looking for?

Select Sidearea

Populate the sidearea with useful widgets. It’s simple to add images, categories, latest post, social media icon links, tag clouds, and more.

Chiamaci al numero: +39 045 9971269

Richiedi una consulenza

Linkedin-in

What are you Looking for?

Attacchi a voice-gateway non esposti verso Internet

Progetti recenti

Tweets recenti

Something wrong, please check the connection or the api config!

Attacchi a voice-gateway non esposti verso Internet

Enrico Pasqualotto
11/05/2022

4,996 Phone Scam Stock Photos, Pictures & Royalty-Free Images - iStock

Negli ultimi due anni abbiamo gestito almeno quattro incidenti di sicurezza legati ad apparati VOIP “apparentemente” non esposti su Internet.

Il fatto di non essere esposti direttamente porta le aziende a non prestare particolare attenzione agli aggiornamenti dei voice-gateway, al controllo degli eventi generati ed in generare all’hardening della loro configurazione.

Questo tipo di attacchi ha come unico scopo (per ora) quello di generare traffico telefonico verso numeri a pagamento come per esempio satellitari o particolarmente costosi, qualche ora di traffico telefonico può tradursi in qualche migliaia di EURO di bolletta.

Gli attacchi sfruttano tre vettori:

  • device come PBX o gateway VOIP esposti verso Internet e non particolarmente protetti
  • implementazioni errate o vulnerabili di SIP inspection o SIP ALG (Application Layer Gateway) sui firewall
  • NAT Slipstream con l’aiuto di un host interno

Il primo caso è il più semplice e c’è poco da approfondire (purtroppo), chi ha esposto un servizio SIP ad Internet saprà benissimo che è un continuo di brute-force, enumeration e tentativi di attacco tutti spesso riconoscibili dallo user-agent SIPvicious (nemmeno quello cambiano prima di lanciare lo scan).

In questo caso però l’azienda è a conoscenza del rischio e solitamente, anche con l’aiuto di VPN, Fail2Ban e IPS sul firewall, ci cerca di mitigarlo.

Per gli altri due casi invece nessuno si aspetta che l’attacco provenga dall’esterno e nella fase iniziale della gestione dell’incidente si perde molto tempo nella ricerca del colpevole all’interno della rete (mancanza di log adeguati e accesso ai device non aiutano nella confusione).

Analizzando nel dettaglio il traffico si vedono degli INVITE SIP provenienti da IP esterni e diretti all’IP interno del device VOIP nonostante questo non sia pubblicato su Internet.

Queste le attività per mitigare il rischio che consigliamo:

  • aggiornamento dei firewall e verifica delle configurazioni legate alla gestione del traffico SIP (Inspection / ALG)
  • implementazione di policy IPS/IDS per identificare brute-force o user-agent legati a software per attacchi VoIP
  • ACL sui voice-gateway per accettare connessioni solo dai device trusted e interni
  • implementazione di VLAN dedicate per traffico VOIP con traffico verso le altre reti abilitato solo per casi specifici
  • invio di log ad un SIEM per la loro analisi

La minaccia può provenire inoltre da apparati in gestione del provider e non configurati correttamente, è bene quindi chiedere ci sia sempre un firewall tra la WAN e il voicegateway.

Configurazioni che vediamo spesso invece permettono il bypass del firewall aziendale tramite i device VOIP, il provider quindi connette in parallelo voice-gateway e firewall dal router WAN.

LinkedIn

Tags:

Cookies Per far funzionare bene questo sito, a volte installiamo sul tuo dispositivo dei piccoli file di dati che si chiamano "cookies". Anche la maggior parte dei grandi siti fanno lo stesso.
Accetta Cookie
Leggi di più