VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

В чем смысл попытки взлома Инвайтами ?

Проблемы Asterisk без вэб-оболочек и их решения

Модераторы: april22, Zavr2008

Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum »

Подключился к старой АТС версии 1.8
И периодически проскакивают подобные сообщения
[2021-12-17 16:45:59] NOTICE[9415]: chan_sip.c:22793 handle_request_invite: Sending fake auth rejection for device <sip:801@X.X.X.X>;tag=929606901
Где X.X.X.X Айпи АТС
Попытки подбора учёток с помощью пакетов регистрации банится fail2ban
Для исключения этого подбора Инвайтами, надо пачтить исходники АТС или переходить на версию выше, с этим понятно.
Не понятно другое, смысл этих действий злоумышленника, даже если уч данные будут угаданы, все равно выскочит аналогичная SIP/2.0 403 Forbidden (Bad auth), пока не будут оправлены валидные пакеты регистрации
При активных опциях
alwaysauthreject=yes
allowguest=no
Или я не прав ?
Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum »

Хм сейчас с 8 американских айпи, притом везде From: <sip:10001@ (Предполагаю это зараженные вирусом пользовательские ПК Зомби, которые принадлежат одному взломщику)
Сыплют Инвайтами без пароля, натыкаясь на SIP/2.0 401 Unauthorized

Цифры в поле To: постоянно новые, но есть закономерность, после первых четырех цифр следует 46431313360

From: <sip:10001@
To: <sip:579246431313360@

From: <sip:10001@
To: <sip:915246431313360@

Что это за первые 4 цифры, полагаю 46431313360 это все же номер, мне интересно, а в самом модуле sip нет уязвимости, которое позволяет пересылать пакеты в обход диалплна и других модулей.
Аватара пользователя
Zavr2008
Сообщения: 2211
Зарегистрирован: 27 янв 2011, 00:35
Контактная информация:

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Zavr2008 »

Префиксы подбирают чтобы прозвониться. Это сканеры.
Asterisk 1.8 имел уязвимость в chan_sip, и я бы Вам не советовал открывать порт 5060 для всего мира, даже с fail2ban - сканеры стали умными и атака может быть длительной - месяцами, чтобы в бан не попадать.
Российские E1 шлюзы Alvis. Модернизация УПАТС с E1,Подключение к ИС "Антифрод" E1 PRI/SS#7 УВР Телестор, Грифин и др..
Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum »

Да как то не похожи эти 4 цифры на префиксы, на 13 Астериске если убрать правило по инвайтам в файл2бан, аналогичный подбор (да и с ним постоянно, айпи меняются, притом владелец этих ботов один), как будто ID подбирают (ID чего ?), тут конечно надо исходники изучать.
Смысл подбирать префиксы, если не попасть в диалплан не пройдя регистрации, без этой процедуры ответ на инвайт даже с правильными учетными данными, будет стандартный SIP/2.0 403 Forbidden
Я чего боюсь, что взломают и найдут способ переправить сигнализацию внутри самого chan_sip, а я даже об этом не узнаю, так как в логах это не будет отражено.
А что за уязвимость была в 1.8 ?, и в какой ревизии она была устранена, ведь 1.8 развивалась очень долго
Аватара пользователя
Zavr2008
Сообщения: 2211
Зарегистрирован: 27 янв 2011, 00:35
Контактная информация:

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Zavr2008 »

Да как то не похожи эти 4 цифры на префикс
Очень даже похоже на это, точнее - стандартно.
Думать не надо - закрывать нужно форточку, а то будет поздно когда на Сомали налетите.
В 1.8 так и не поправили CVE, поскольку EOL.
Российские E1 шлюзы Alvis. Модернизация УПАТС с E1,Подключение к ИС "Антифрод" E1 PRI/SS#7 УВР Телестор, Грифин и др..
Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum »

А если вас затруднит рассказать, как все таки происходит этот взлом, какие звезды должны сойтись чтоб это произошло, каким образом они попадают в диалплан если вообще в него попадают ?
yvatfwp
Сообщения: 73
Зарегистрирован: 27 окт 2015, 11:50

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение yvatfwp »

Все прозаично.
Понять какой аккаунт есть. Если пира нет то от астера приходит один ответ, если пир есть то другой ответ, затем если пир есть вызывается другой запрос с попыткой набора или с регистром после чего он обычно попадает в бан по классическим правилам.
Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum »

Слишком прозаично, повторюсь при активных опциях
alwaysauthreject=yes
allowguest=no
Вообще не будет никакой разницы, есть реальный пир или нет, ответ будет един.
SIP/2.0 401 Unauthorized при отсутствии данных авторизации
SIP/2.0 403 Forbidden (Bad auth) с данными авторизация (притом даже если они валидные)

Как раз обычно пытаются подбирать с одного аккаунта (которого обычно в реальности нет), меняя номер в поле To:
sashulka
Сообщения: 2
Зарегистрирован: 20 дек 2021, 13:31

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение sashulka »

С опциями которые вы указали астериск прекрасно сделает вызов по инвайту
достаточно в настройке пира "напортачить" и никакие опции не помогут
Аватара пользователя
Ferrum
Сообщения: 338
Зарегистрирован: 25 ноя 2011, 15:16

Re: В чем смысл попытки взлома Инвайтами ?

Сообщение Ferrum »

Если не затруднит, приведите пример корявого пира
Ответить
© 2008 — 2024 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH