Короче говоря, телефон клиента был взломан и использовался для незаконных звонков. Расследование выявило запись о перенаправлении портов в веб-интерфейс телефона, который «защищен» шестизначным цифровым паролем. Мы предполагаем, что это было взломано, и теперь пытаемся выяснить, как они получили оттуда пароль расширения (он недоступен для пользовательского интерфейса и не содержится в резервных копиях файла конфигурации, которые вы можете получить из веб-интерфейса). через веб-интерфейс они могут изменить сервер регистрации.
Я знаю, что пароль никогда не пересылается в виде открытого текста, но я думаю, что основная цель аутентификации запрос / ответ состоит в том, чтобы гарантировать, что клиент является тем, кем они себя называют, для защиты сервера. Я не знаю, насколько хорошо защищен клиент. Итак, мой вопрос: Если конечная точка пытается зарегистрироваться на вредоносном сервере SIP, может ли этот сервер получить учетные данные SIP?
Атаки на телефонные аппараты - это современная тенденция взлома VoIP. В графическом веб-интерфейсе телефонов есть хорошо известные ошибки, раскрывающие их содержимое (включая учетные данные SIP, используемые для регистрации на сервере SIP). Поскольку некоторые телефонные аппараты напрямую подключены к Интернету, их сложно защитить. (Если во внутренней сети, графический интерфейс не должен отображаться)
Одна из атак включает подделку DNS, в результате чего конечная точка регистрируется на внешнем SIP-сервере и раскрывает учетные данные.
Хотя поддерживать прошивку телефона в актуальном состоянии - это хорошая идея, обязательно используйте систему безопасности PBX, которая может обнаруживать подозрительные схемы набора, необычное количество / скорость текущих вызовов и т. Д. Простые инструменты, такие как fail2ban, никогда не поймают такую атаку. . Кроме того, атаки с использованием «распространения IP» затрудняют блокировку, если ваша система безопасности VoIP не может их обнаружить.
Взгляните на эту страницу с информацией о безопасности voip-информация и некоторые предложения по идеям и продуктам для обнаружения и блокирования таких атак.