[AsteriskBrasil] Asterisk e suas Ameaças

Sylvio Jollenbeck sylvio.jollenbeck em gmail.com
Quinta Agosto 15 21:17:37 BRT 2013


Pessoal, boa noite.

   Desejo apenas compartilhar um fato, hoje durante a tarde ativei um
Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de
serviço ativo o Asterisk começou a sofrer tentativas de autenticação.

   Bom, o que me chamou a atenção é que o "meu" destemido aspirante a
invasor usou diversas técnicas diferentes, sendo:

    1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante
enviava uma tentativa de autenticação. A tentativa se baseada em enviar
extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o
mesmo padrão das extension, exemplo: Ramal 200 Senha 200.... Depois o
negócio mudou, o dicionário começou a ser usado.

   Ops! A partir desse momento comecei a pensar................ será mesmo
um aspirante ou um profissional cauteloso? Vamos continuar acompanhando!

    2a. Conexões por múltiplos IP, depois de enviar suas tentativas de
autenticação por um determinado IP, notei que comecei a receber novas
tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas
continuei acompanhando, minha curiosidade em ver até onde o camarada era
persistente foi maior do que o meu senso critico em dropar. Afinal de
contas esse Asterisk ainda não esta ligado a nenhuma operadora de
telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina
incomunicável.

    3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do
Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me
tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa
de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).

     4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager começou
a ser atacado, outros serviços agregados também começaram a ser ameaçados,
tais como: Apache, SSH e principalmente o MySQL.

Bom, após 1 hora monitorando e observando posso concluir que o camarada não
era um aspirante e sim um profissional muito cauteloso. O que me leva a
crer nisso são os fatos:

a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana
tranquilamente muitos fail2ban por ai.
b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que
dificulta em muito sua real localização.
c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por
ai...bingo, estrago feito.
d. O que mais me chamou a atenção foi o ataque ao MySQL.

Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, resolvi
praticar também....
Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois
de bater no 5 servidor, estava eu quase desistindo, quando veio em minha
cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de
acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o
quanto foi fácil autenticar. Claro que os meus princípios não me deixaram
sacanear o coitado, então enviei um e-mail para ele (empresa onde o
servidor esta hospedado) alertando sobre a vulnerabilidade do sistema.

Diante de tudo isso, espero que essa experiência sirva para alertar a todos
o quão fragilizado estamos aos inúmeros tipos de ataque.

Abs,

-- 
Sylvio Jollenbeck
www.hosannatecnologia.com.br
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130815/580ac29c/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil