[AsteriskBrasil] Asterisk e suas Ameaças

Daniel Feliciano danielfelicianoseg em hotmail.com
Quinta Agosto 15 21:38:46 BRT 2013 

Mto Bom Sylvio,obrigado por compartilharAbs

Date: Thu, 15 Aug 2013 21:17:37 -0300
From: sylvio.jollenbeck em gmail.com
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: [AsteriskBrasil] Asterisk e suas Ameaças

Pessoal, boa noite.
   Desejo apenas compartilhar um fato, hoje durante a tarde ativei um Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de serviço ativo o Asterisk começou a sofrer tentativas de autenticação.

   Bom, o que me chamou a atenção é que o "meu" destemido aspirante a invasor usou diversas técnicas diferentes, sendo:
    1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante enviava uma tentativa de autenticação. A tentativa se baseada em enviar extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão das extension, exemplo: Ramal 200 Senha 200.... Depois o negócio mudou, o dicionário começou a ser usado.

   Ops! A partir desse momento comecei a pensar................ será mesmo um aspirante ou um profissional cauteloso? Vamos continuar acompanhando!
    2a. Conexões por múltiplos IP, depois de enviar suas tentativas de autenticação por um determinado IP, notei que comecei a receber novas tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas continuei acompanhando, minha curiosidade em ver até onde o camarada era persistente foi maior do que o meu senso critico em dropar. Afinal de contas esse Asterisk ainda não esta ligado a nenhuma operadora de telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina incomunicável.

    3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).

     4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager começou a ser atacado, outros serviços agregados também começaram a ser ameaçados, tais como: Apache, SSH e principalmente o MySQL.

Bom, após 1 hora monitorando e observando posso concluir que o camarada não era um aspirante e sim um profissional muito cauteloso. O que me leva a crer nisso são os fatos:
a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana tranquilamente muitos fail2ban por ai.
b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que dificulta em muito sua real localização.c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por ai...bingo, estrago feito.
d. O que mais me chamou a atenção foi o ataque ao MySQL.
Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, resolvi praticar também.... Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois de bater no 5 servidor, estava eu quase desistindo, quando veio em minha cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o quanto foi fácil autenticar. Claro que os meus princípios não me deixaram sacanear o coitado, então enviei um e-mail para ele (empresa onde o servidor esta hospedado) alertando sobre a vulnerabilidade do sistema. 

Diante de tudo isso, espero que essa experiência sirva para alertar a todos o quão fragilizado estamos aos inúmeros tipos de ataque.
Abs,
-- 
Sylvio Jollenbeck

www.hosannatecnologia.com.br




_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conhe�a em www.Khomp.com.
_______________________________________________
ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank � Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 		 	   		  
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130816/7a8fad35/attachment.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil