Internet es una jungla, hay quien quiere poner puertas en medio y quien pone alambradas, pero está claro que por muchos firewalls, antivirus, protecciones y leyes se instalen, siempre hay alguien que consigue meter un troyano, un virus, o algún resquicio legal para que tu estancia en Internet no sea tan placentera como esperabas. Si montas un blog, hay cientos de exploits sobre el software que utilizas como servidor web, otros cientos de exploits para la plataforma que utilizas, decenas de exploits para cada uno de los plugins que has instalado y por si fuera poco, además el servidor incluye otros servicios que también son vulnerables y siempre hay alguien intentando explotarla.

Si pones un servidor VoIP accesible desde el exterior (por la razón que sea) siempre hay quien intenta aprovecharla, no en vano existen bots especializados en atacar sistemas VoIP que buscan puertos SIP (en el 5060 o donde sea), probar cientos de miles de combinaciones de usuarios/contraseñas y en el caso de que exista alguna cuenta desprotegida con una contraseña sencilla o incluso sin contraseña, empieza un ataque mediante llamadas SIP a números internacionales que pondrán a prueba, no solo el rendimiento del sistema de comunicaciones, si no nuestra capacidad y velocidad para darnos cuenta de que estamos siendo atacados y están haciendo llamadas a través de nuestra infraestructura.

Siempre he dicho que cada fabricante echará la culpa a los productos de la competencia, pero está claro que independientemente de qué software o hardware utilicemos, si ponemos usuarios y contraseñas estándar, vamos a ser atacados tarde o temprano ocasionándonos un gran dolor de cabeza (en el mejor de los casos). Por esta razón, aunque soy de los que defienden que cada protocolo debería funcionar en su puerto (SIP en el 5060), si es cierto que hay que prestar atención a que cada usuario tenga su contraseña bien difícil de adivinar y que no debemos llevarnos las manos a la cabeza ni preocuparnos cuando veamos que un bot intenta registrarse. Cambiar de puerto solo evita ser encontrado de buenas a primeras, pero los bots hacen escaneo de puertos, por lo que el puerto SIP seguirá siendo encontrado tanto si está en el 5060 como si está en el 65535.

Resulta que los bots no solo atacan al puerto SIP, si no también buscan sistemas vulnerables y para ello hacen también varias pruebas:

  • Comprueban si el servidor SIP tiene un servicio WEB.
  • Comprueban si el servidor WEB tiene ciertas aplicaciones instaladas.
  • Comprueban si las aplicaciones instaladas tienen una versión vulnerable.
  • En caso afirmativo, usan un exploit para, o bien hacer llamadas desde la aplicación, o bien para abrir una puerta con un usuario nuevo y poder hacer llamadas desde ahí.

Los ataques son cada vez más sofisticados, y por suerte, si estamos medianamente al día en cuanto a las versiones, la probabilidad de que la aprovechen es mínima, pero siempre hay algún exploit más nuevo que no hemos visto, siempre instalamos más aplicaciones de las que deberíamos (y luego no las borramos) y por esta razón los “sipbots” encuentran huecos donde conseguir un suculento bocado.

Visualizador de ataques en tiempo real http://community.sicherheitstacho.eu/start/main

Una versión de Elastix antigua, un A2Billing antiguo, un PHPMyAdmin, un WordPress, un …  cualquier aplicación es susceptible de ser vulnerable y abrir la puerta en un momento dado a un ataque. En Alemania, el vicepresidente de seguridad de Deutsche Telekom avisaba del aumento de ataques al puerto 5038 (puerto generalmente utilizado por el servicio AMI -Manager- de Asterisk) y es que es un servicio que puede ser explotable por fuerza bruta similar al que tendríamos abriendo un puerto Telnet a nuestro servidor. Por supuesto es importantísimo no disponer de cuentas “de pruebas”, pero lo que los bots buscan son cuentas “comunes” utilizadas por aplicaciones conocidas, aquellas que para que funcionen, por defecto son “stats” y “statspass” o “a2billing” y “changethepass“, o similares. (you know what I mean)

Siempre he defendido que no hay que ser un paranoico de la seguridad, eso solo nos lleva a consumir un tiempo precioso en vigilar cuando deberíamos invertirlo en avanzar y mejorar, pero también es cierto que hay que ser conscientes en que la seguridad debe venir de la mano de una serie de hábitos básicos como desinstalar una aplicación si no la vamos a utilizar, siempre contraseñas fuertes y mucho cuidado con “las pruebas” que luego se olvidan que están ahí.

3 Comentarios

  • La semana pasada cambié el firewall de un cliente que tiene un FreePBX, solo los puertos RTP 10000-20000 estaban nateados al FreePBX en el firewall viejo pero para evitar cualquier inconveniente decidí redireccionar también el 5060 en el firewall nuevo GRAVE ERROR. Resulta ser que el FreePBX tenía habilitada la opción de llamadas anónimas y a los 15 minutos de haber instalado el firewall se empezaron a recibir llamadas desde el interno 1001 en todos los teléfonos. Rápidamente desactivamos el nateo del puerto 5060 y dejaron de llegar las llamadas y todo funcionaba ok. Lo que me resulta sorprendente no es el hecho de que se hayan filtrado a través del puerto 5060 porque suele pasar sino LA RAPIDEZ CON LA QUE SE CONECTARON, ni 15 minutos y ya descubrieron el puerto abierto, lo que significa que hay un pequeño ejercito de bots escaneando puertos constantemente en todo el mundo. Asique lección aprendida, nunca abrir el 5060 a menos que esté todo bien protegido por detrás. Saludos.

  • Ricardo De Leon

    Gabriel Rojas el THANKYOU .

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Archivos

© 2014 Sinologic, inc. All rights reserved.

Menú

Redes sociales