PDA

Voir la version complète : piratage via tiers


jean
21/06/2014, 07h04
apres 5 ans de tranquilite, et en dépit de ma signature, je viens de me faire pirater pour la première fois... et je comprends pas comment....

=> mon asterisk a reçu quelques centaines d'appel par un trunk d'un site client enregistré extérieur:

(pabx classique) <=> (passerelle patton) <=> internet <=> asterisk

les appels sont arrivés via l'ip du trunk configuré pour la patton. pas un message d'erreur, rien, direct les appels. la patton s'enregistre en dynamic, donc une fois l'enregistrement fait, tout ce qui vient de cette ip/port est routé.
les appels présentent un from à la noix (genre 'asr100', ou '1004') et les appels vont vers l'europe, l'afrrique, la bosnie, le costa rica, palestine (j'en passe et des meilleures) - je doute franchement que cela soit une fraude interne chez mon client.

les callerid montrent que ca vient pas de la config classique de la passerelle, des erreurs de codec en pagaille me montrent la bonne ip du site client, à part ma passerelle, y'a pas de voip sur le site distant (c'est un magasin dans un centre commercial...). j'ai peine à croire à une attaque MITM car tout le trafic IP est local - et on voit nettement que le hacker recherche le format pour des appels internationaux, et ne fait que de l'international.

à part le fait que le gars soit rentré sur la passerelle, je comprends pas comment il m'envoie des paquets provenant de la bonne ip / bon port, et y répond (l'effronté)

toutes vos idées sont les bienvenues......

:-)
quintana
21/06/2014, 11h45
Version d'asterisk ?
Car vu les failles corrigées il a juste pu utiliser un exploit.
fastm3
21/06/2014, 12h56
à part le fait que le gars soit rentré sur la passerelle, je comprends pas comment il m'envoie des paquets provenant de la bonne ip / bon port, et y répond (l'effronté)

Il passe par la patton, ca semble le plus probable , non ?
Faudrait voir la config de la patton, version...
S'il a tout bêtement reussi a s'enregistrer dessus....
J'activerai les logs sur patton et recupererai ceux-ci. Je crois qu'on peut rediriger cela vers un syslog. Ca permettrait de valider l'hypothese. ( on simulera les appels vers une fake destination pour observer le hacker )
Francois.
jean
21/06/2014, 14h25
la version d'asterisk est 1.6.1.20 - c'est vieux....

je pense effectivement que ca a à voir avec la patton... mais il y a un pbm au niveau du lan du site, le hacker rentre d'abord sur le site, puis ressort par la patton. je vais aller voir tout à l'heure
jean
21/06/2014, 16h04
le gars vient de recommencer, c'est le user agent de la patton dans les logs asterisk.... je vais sur site pour chopper les logs de la patton meme
olppp
21/06/2014, 16h04
J'ai déjà été confronté à un piratage par l'intermédiaire d'une Patton. Par défaut elle acceptait tous les appels venant du réseau local et effectivement le/les pirates, sûrement un réseau de bots, rebondissait par un routeur mal configuré. La destination principale visée était un site de jeu en ligne.
quintana
21/06/2014, 16h15
Sur ton schéma je vois internet -- asterisk donc est-ce que ton Asterisk est ouvert sur internet directement ? Il y a pas mal de faille remote sur Asterisk qui ont été corrigé (peut être pas toutes en passant), il faut mettre aussi à jour Asterisk car sinon quelqu'un peut exploiter les failles et avoir les infos qui vont bien. Il faut que tu sois sûr que tout est bloqué. Sinon si la patton est accessible aussi, il y a en effet un risque, pourquoi ne pas mettre un firewall est autorisé juste ton trafic opérateur ?
therebel23
21/06/2014, 17h40
Ca peut pas venir du PABX par hasard (par un renvoi par exemple). C'est quel modèle le PABX ?
jean
21/06/2014, 18h09
J'ai déjà été confronté à un piratage par l'intermédiaire d'une Patton. Par défaut elle acceptait tous les appels venant du réseau local et effectivement le/les pirates, sûrement un réseau de bots, rebondissait par un routeur mal configuré. La destination principale visée était un site de jeu en ligne.

C'est exactement ca.... j'ai pu analyser, et un simple INVITE d'un client LAN ressort par le trunk sip configuré sur la patton....

comment as tu modifié la config pour bloquer ca ??? je vois vraiment pas ce que je peux changer !
olppp
21/06/2014, 18h36
La Patton a été basculé dans un vlan privé qu'elle partage avec le serveur Asterisk. Ce n'est pas le top, le mieux serait de configurer les routes et les acl sur la Patton ;mais je manque de connaissance là-dessus. J'ai repris une configuration existante.
jean
21/06/2014, 19h02
Merci pour les réponses....

le vlan est pas possible à priori , etj'aurais la main sur le routeur pas avant lundi.... j'ai essayé les routes, mais pas de succès... j'ai ouvert un ticket chez patton, et je continue à chercher
jean
23/06/2014, 17h48
bon.... patton reste incomparable en termes de support... gratuit, rapide et efficace, c'est juste impressionant !

pour ceux qui ont des pattons.... les firmware 6.x ont une fonction TRUST qui empeche cela - dispo via CLI uniquement:
enable
configure
context cs switch

ensuite pour chaque interface SIP:
interface sip <nom de l'interface>
trust remote

(ou trust <ip ou fqdn du serveur>)
renverra un 503 à chaque demande faite par un host non trusté.

egalement les ACL sont en fait un mini firewall - il suffit de faire un accept depuis l'IP de son serveur, et un deny du reste

cdlt

eric
olppp
23/06/2014, 19h31
merci pour les informations. je vais vérifier la version de firmware.