Nieuws
image

XS4ALL-klanten doelwit SIP-scanning

vrijdag 30 juli 2010, 09:36 door Redactie, 10 reacties

Klanten van internetprovider XS4ALL zijn al enige weken het doelwit van SIP-scans. Op 11 juli waarschuwde XS4ALL Chief Security Officer Scott McIntyre voor een enorme toename van het aantal SIP-scans. Het zou zelfs het op een na meest gescande doelwit zijn. McIntyre adviseerde klanten dan ook om SIP indien mogelijk te firewallen en de logs goed te monitoren.

SIP, wat staat voor session initiation protocol, wordt onder andere gebruikt voor VoIP. SIP-telefoons laten gebruikers via VoIP bijvoorbeeld bellen. Volgens McIntyre gaat het voornamelijk om SIP OPTIONS scanning, zo laat hij tegenover Security.nl weten. Er zijn verschillende tools beschikbaar, zoals Sipvicious, waarmee één of meerdere SIP-servers zijn te scannen. Aan de hand daarvan kan een aanvaller een database van het soort SIP-apparaten, gebruikte software en andere informatie samenstellen.

Firewall
McIntyre merkt op dat het voorlopig nog alleen om fingerprinting gaat. "Het scannen en verzamelen van gegevens over het type SIP-apparaten dat antwoord op de scans geven." Volgens de CSO zitten er allerlei soorten kwetsbaarheden in SIP-apparaten en dan met name bepaalde Asterisk en Cisco Call Manager producten. "In alle waarschijnlijkheid zijn de mensen die deze scans uitvoeren opzoek naar iets specifieks, maar ik weet niet zeker wat dat is."

"De meeste eindgebruikers kunnen eenvoudig het SIP protocol firewallen als ze een door de provider geleverde SIP-oplossing gebruiken, zoals Internet Bellen van XS4ALL, maar dit wordt lastig als ze hun eigen SIP-server hebben en gebruiken om verbinding te maken met anderen op het internet. Het is nog steeds mogelijk, maar het kost meer tijd", laat McIntyre weten. Sinds 28 juli is het aantal SIP-scans verder toegenomen. Inmiddels worden XS4ALL-klanten door 182 hosts gescand.

Reacties (10)
30-07-2010, 10:15 door Anoniem
Ik heb het vermoeden dat niet alleen XS4ALL klanten doelwit zijn maar iedereen die belt via VoIP, dus ook klanten van KPN (Internet plus Bellen), UPC, Ziggo etc etc.

Volgens de link http://blog.sipvicious.org/ is het vlot te merken als je SIP-scanning hebt: je bandbreedte neemt drastisch af, al denk ik dat alleen diegenen die videobellen à la Skype dat zullen merken omdat hun videoconnectie vaak wegvalt.

Verder denk ik dat dit een typisch geval gaat worden van ID-fraude; dat men op eenvoudige wijze op jouw kosten gaan bellen naar dure landen (denk aan Nigeria?). Dus ook hier geldt dan weer dat je je zaken goed af moet schermen middels firewall of IP-rules....
30-07-2010, 10:31 door Anoniem
Niet alleen XS4ALL heeft daar last van - volgens mij is het een internet brede trend.

Ik draai zelf een stickey honeypot (Labrea) in een klein subnetje en zie daar al een paar weken scans naar poort 5060 voorbij komen. Ook het 'internet storm center' van SANS heeft er wat info over:

http://isc.sans.edu/portgraph.html?_jpg_csimd=1&token=b01fdd8e1509976cc5284900175882ddec2a3f7a&start_month=6&start_day=1&start_year=2010&end_month=7&end_day=30&end_year=2010&port=5060&leftgraph=sources&rightgraph=targets&range=Y&submit=Update
30-07-2010, 11:36 door Anoniem
Door Anoniem: Ik heb het vermoeden dat niet alleen XS4ALL klanten doelwit zijn maar iedereen die belt via VoIP, dus ook klanten van KPN (Internet plus Bellen), UPC, Ziggo etc etc.
.
Wat kun je hiertegen doen? De KPN levert Internet bellen met een dichtgetimmerd modem, waar je als consument niet veel aan kunt veranderen.
30-07-2010, 12:07 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb het vermoeden dat niet alleen XS4ALL klanten doelwit zijn maar iedereen die belt via VoIP, dus ook klanten van KPN (Internet plus Bellen), UPC, Ziggo etc etc.
.
Wat kun je hiertegen doen? De KPN levert Internet bellen met een dichtgetimmerd modem, waar je als consument niet veel aan kunt veranderen.

Heel simpel: als blijkt dat door SIP- cq ID-fraude jouw telefoonkosten drastisch zijn gestegen kun je KPN daar verantwoordelijk voor stellen omdat ze jou niet de gelegenheid hebben gegeven de zaak afdoende te beveiligen, laat staan dat ze daar zelf überhaupt iets aan gedaan hebben.
30-07-2010, 16:57 door Anoniem
Ik handel zelf de abuse af bij een van de grootste ISP's in Nederland en zie inderdaad een toename in SIP scanning en hacking. De bedoeling hier achter is dat criminele bende's PBXes hacken en deze verhuren aan bijvoorbeeld belhuizen zodat er "goedkoop" naar internationale bestemmingen gebeld kan worden. De rekening komt echter terecht bij de eigenaar van de PBX. Veelal gaat het om slecht of niet beveiligde Asterisk of Trixbox servers. Er wordt dan gescanned naar verschillende extensions. Veelal is het password van de externsion het zelfde als de externsion en dan is het dus bingo. De eigenaar van de PBX gaat dan aan het einde van de maand een rekening van enkele (tien)duizenden euro's krijgen voor uitgaande gesprekken naar vooral afrikaanse en zuid amerikaanse landen.

Wat je hier in ieder geval tegen kunt doen is simpel en vereist weinig kennis:
Zet in je router een ACL die het verkeer tussen jouw PBX en de SIP server van je provider toe laat.
Daar onder zet je nog een rule die standaard al het verkeer van en naar jouw PBX blokkeerd/dropt.

Op deze manier ben je redelijk veilig voor sip hacking. Doorgaans is het genoeg om dit alleen voor het SIP en eventueel IAX protocol te doen TCP/UDP 5060 - 5080 (of wat voor range je ook hebt) RTP is niet interessant om te ACLen omdat er zonder SIP of IAX toch geen sessie opgezet kan worden.

Wees verder gewoon voorzichtig met de poorten die je open zet naar je PBX. SIP en RTP zijn genoeg, ga daarom ook geen andere poorten naar services zoals http, mysql, ssh telnet etc.. open zetten dit maakt het geheel alleen maar exploit gevoeliger en een gehackte PBX gaat je gewoon serieus veel geld kosten.
30-07-2010, 17:11 door TD-er
Door Anoniem: [...]

Heel simpel: als blijkt dat door SIP- cq ID-fraude jouw telefoonkosten drastisch zijn gestegen kun je KPN daar verantwoordelijk voor stellen omdat ze jou niet de gelegenheid hebben gegeven de zaak afdoende te beveiligen, laat staan dat ze daar zelf überhaupt iets aan gedaan hebben.
Dan mag je je waarschijnlijk eerst door een enorme firewall aan onkunde/onwetendheid/onverschilligheid heen worstelen, aangezien ik vermoed dat de gemiddelde 1e lijns helpdesk waarschijnlijk niet weet wat SIP is, laat staan dat je dat zou kunnen misbruiken.
Daarnaast is de gemiddelde KPN-internet+bellen-klant niet zo technisch onderlegd en dus zal je "de eerste zijn" die er iets over te melden zou hebben.

Het beste is gewoon om je Asterisk zo in te stellen dat je voor je extensions geen dynamische IP-adressen accepteert en voorbij je firewall/NAT-modem vooral niet echt scheutig zijn met "friend" in de extension-configuratie.
Als je inter-Asterisk verkeer hebt, kun je dat ook beter via IAX laten lopen dan via SIP.
31-07-2010, 00:00 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb het vermoeden dat niet alleen XS4ALL klanten doelwit zijn maar iedereen die belt via VoIP, dus ook klanten van KPN (Internet plus Bellen), UPC, Ziggo etc etc.
.
Wat kun je hiertegen doen? De KPN levert Internet bellen met een dichtgetimmerd modem, waar je als consument niet veel aan kunt veranderen.

Het gaat om mensen die een sip server draaien, niet om modems die als sip client ingesteld zijn, dus *dat* gaat je geen hoge rekening opleveren..

Aan de andere kant heb ik geen idee of de meeste providers het nog steeds toelaten om een nieuw sip password aan te vragen online, een wachtwoord laten wijzigen via een gehackte pc en rottigheid uithalen met die voip account gebeurt inmiddels al.
31-07-2010, 23:08 door Anoniem
Ja, wij zien bij veel meer partijen SIP-scanning en hacking plaatsvinden en hebben daar al meermaals onze relaties voor gewaarschuwd. Firewallen is natuurlijk een geschikte oplossing, maar kan het gebruik van je SIP-centrale ook blokkeren, dus is niet altijd gewenst. Jammer genoeg zien we vaak dat gebruikers hun SIP-wachtwoorden veel te eenvoudig laten. Sommige Asterisk-gebaseerde systemen gebruiken standaard hetzelfde wachtwoord als extensie. Daar gokken krakers natuurlijk eenvoudig op. Gebruikers die 'even snel' een cd-tje installeren letten helaas te weinig op datsoort details.
14-10-2010, 20:57 door Mark Vletter
Firewallen is leuk, maar dan moet je wel weten wat je doet, want het SIP verkeer moet nog wel door de firewall komen. Bij steeds meer VoIP operators kun je overigens IP restricties instellen, zodat een account alleen vanaf je eigen IP te gebruiken is. Dat lost niet alles op. Zie daarvoor ook http://www.voys.nl/nieuws/voip-en-beveiliging.html.

Verder worden accounts niet alleen verkocht aan belhuizen, maar er wordt ook mee gebeld naar internationale "0900" nummers waar de eigenaar van een dergelijk nummer geld mee verdient.

Als laatste zien we dat bedrijven een VoIP PBX aan het netwerk hangen zonder het standaard wachtwoord aan te passen.
25-11-2010, 12:23 door Anoniem
Mijn SIP account bij Telfort is onlangs gekraakt, bij de afdeling abuse vinden ze poortscannen normaal. Ik heb diverse malen alle wachtwoorden gewijzigd maar als gewone gebruiker sta je machteloos. Telfort zegt gewoon dat al die telefoontjes van mijn modem af komen en hun Zyxel modem`s afdoende beveiligd zijn. Ik heb ze aangeboden mijn mijn modem te onderzoeken maar hier gingen ze niet op in. Ik zou wel eens willen weten hoe ik van die onzin af kom.
Naar mijn mening is een ADSL modem met 2 VOIP/SIP poorten te makkelijk te hacken en kun je hier als eenvoudige gebruiker niet tegen ondernemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search