Zostałem zhakowany - przez Palestyńczyków! ( ͡° ͜ʖ ͡°)
Po tygodniu przebywania w Lublinie (mimo HO zmieniam lokacje co by nie dostać pierdolc... obłędu od monotonii covidowej) wróciłem w rodzinne strony. Po pewnych pracach wieczornych z lutowaniem (druciarska naprawa kamery IP) spojrzałem na wyświetlacz mojego telefonu VoIP.
- Co do ch@!? Na wyświetlaczu wodzę komunikat o aktywnym przekierowaniu połączeń na jakiś długi numer.
![595878335a51514141424578_1614468715S1bCnvFr4s7fz35QG2ePXT.jpg](https://www.wykop.pl/cdn/c0834752/595878335a51514141424578_1614468715S1bCnvFr4s7fz35QG2ePXT.jpg)
Szybkie zapytanie w google na temat numeru telefonicznego - brak danych.
Wygląda jednak na to iż to numer szwajcarski, stacjonarny.
- Co tu się odp... tralalala?!
Loguje się do panelu telefonu voip, a tam wszędzie gdzie możliwe opcje przekazywania połączeń - aktywne, wprowadzony numer zagraniczny.
![595878335a51514141424578_1614468753PsKKMnjnvd6YqSFLBrEEeD.jpg](https://www.wykop.pl/cdn/c0834752/595878335a51514141424578_1614468753PsKKMnjnvd6YqSFLBrEEeD.jpg)
Ale jak przecież sieć voip ma odcięty internet, poza tym mam voipy w osobnym separowanym vlanie.
Dostałem zimnych potów... ᄽὁȍ ̪ őὀᄿ
Ktoś dostał się do mojej sieci domowej - spenetrował ją i dobrał się do VoIP. Ale czy tylko VoIPa? Jak do tego doszło? Słabe haslo wifi, jakiś serwer oberwał po SSH? Może któryś z Windowsów dostał syf? Ale sieć użytkowników domowych nie ma dostępu do vlanu VOIP.
Szybkie logowania po terminalach ssh, brak podejrzanych logów na temat dostępu z ssh. Centralka też wygląda na czystą, jednak w logach ma wiele udaremnionych prób dzwonienia na nietypowe numery telefoniczne.
![595878335a51514141424578_16144687673871rP7RbOTowDNWO3AAC2.jpg](https://www.wykop.pl/cdn/c0834752/595878335a51514141424578_16144687673871rP7RbOTowDNWO3AAC2.jpg)
Pierwsze podejrzenie - terminal z windows. Ma w prawdzie dostęp do sieci voip (ale tylko po warstwie trzeciej) no i wskazuje na niego RDP z internetu. Przegląd logów - nic podejrzanego. Odpalam jednak skaner onlinowy systemu.
Szukamy dalej, w telefonie widzę były aktywne próby przekazywania połączeń przychodzących.
Poddaje analizie logi routerów - nic szczególnego. Zajrzenie do Firewall - NAT.
-A co my tu mamy?
Port 4013 przekierowany z internetu na panel www telefonu Yealink.
![595878335a51514141424578_1614468805D5IZJMmiV3SffNhQbWjAn5.jpg](https://www.wykop.pl/cdn/c0834752/595878335a51514141424578_1614468805D5IZJMmiV3SffNhQbWjAn5.jpg)
-Ale przecież mają odcięty internet.
Próbuję zestawić połączenie TCP z zewnątrz na tym porcie. No tak telnet się połączył...
![595878335a51514141424578_1614468829Cm1M9LpQb2wgPFhcDT4mkX.jpg](https://www.wykop.pl/cdn/c0834752/595878335a51514141424578_1614468829Cm1M9LpQb2wgPFhcDT4mkX.jpg)
-Po co ja wystawiałem parę lat temu do publika, interfejs voipa... Tomek ty głąbie...
Między czasie dobrałem się do logów VoIPa - no tak na 2 minuty przed pierwszym połączeniem - niepoprawna próba logowania do konsoli WEB (godzina z logu GMT). IP wskazuje na Palestynę. Szukam danych w google, tak na te telefony istnieje exploit. Mimo zabezpieczenia się hasłem nie jestem pierwszy co ma aktywne przekazywanie połączeń.
![595878335a51514141424578_1614468854FXuV6E4YSv3levAvrXKkTp.jpg](https://www.wykop.pl/cdn/c0834752/595878335a51514141424578_1614468854FXuV6E4YSv3levAvrXKkTp.jpg)
Powiem szczerze na tym moment ulżyło mi - czyli nikt nie dostał się do mojej sieci, a jedynie do telefonu VoIP na moim biurku.
Podsumowując czy Palestyńczycy mnie naciągnęli? Nie.
Co przed tym zabezpieczyło.
Po pierwsze mój operator VoIP jest operatorem typu prepraid, zwykle więcej jak 20zł na koncie nie mam. Po drugie blokada numerów premium - zawsze spoko. Po trzecie mimo posiadania kilku numerów TRUNK nie mam skonfigurowanej trasy domyślnej routingu połączeń. Jedynie numery 6 cyfrowe lub zdefiniowane numery alarmowe mogą wyjść na zewnątrz.
Na pewno separacja sieci VoIP od internetu i sieci domowej też była na plus.
Dlaczego do tego doszło?
Wystawiłem panel logowania na niestandardowym porcie do internetu. Mimo ustawionego niestandaryzowanego hasła, telefon musiał oberwać jakimś exploitem i się otworzył.
Jaki z tego morał - nie wystawiajcie paneli zarządzania urządzeniami sieciowymi do internetu mimo zmiany hasła i protu.
A ja własnie siadam do resetu telefonu. Trzeba też trochę zabezpieczyć tego voipa ( ͡° ͜ʖ ͡°)ノ⌐■-■
Komentarze (224)
najlepsze
Pierwsze co bym zrobił to wyciął po pulach adresowych prawie wszystko, praktycznie większość świata poza Europą i częścią Ameryki. Wedle upodobań i potrzeb, czasem nawet jakiś chiński adres trzeba zostawić.
Po drugie włączyć ochronę przed skanowaniem portów. Przy próbach blokada adresu na jakiś czas, np. na 30 dni i odnotowanie.
Dodatkowo monitorować i blokować próby połączenia z popularnymi usługami, niezależnie czy są dostępne
Pewnie szukają jakiś małych firm do naciągnięcia które nie mają prepaida
Nie mogli z tego poziomu tych logów wyczyść? (Nie mam doświadczenia z voipami)
Co do samego telefonu logów prawdopodobnie nie czyścili, albo czyścili wybiórczo. Znalazłem tam wzmiankę o niepoprawnym logowaniu do panelu WWW i tylko tyle.
Ehhh panowie coraz więcej amatorów się pcha do zabawy hehe mam nadzieję, że przejdzie ta nowelizacja ustawy i używanie VoIP będzie można używać tylko z licencją bo serio niektórzy nie mają ani doświadczenia ani wyobraźni i na przykład udostępniają panel na niestandardowym porcie na świat.
@molksiazkowy1111: taguj #pdk bo nie łapią żarcików
Ciekawie się robi jak się konfiguruje VPN-y z aktywnym
Kupujesz kamerę w sklepie czy na Aliexpress to ona bardzo chętnie połączy się z internetem (o ile będzie miała techniczną możliwość) a potem to już twoja sieć jest potencjalnie otwarta
@P_i_o_t_R: powiedz który Cię tak najbardziej zadziwia, bo mam wrażenie ze pomimo wielu audytów takich serwisów najbardziej sceptyczna jest osoba, która przetrzymuje u siebie hasła do wykopu i aliexpress xD
Manager haseł w chmurze zawsze będzie bezpieczniejszy niż jedno, identyczne hasło wklepywane z głowy do wszystkich serwisów
Ktoś dzwoni na taki VoIP za 0zł/min a VoIP przekazuje na 0700 za 6zł za minutę. Właściciel 0700 ma z tego połowę.
Oczywiście 0700 to skrut myślowy dla numeru premium w kraju w którym ciężej zidentyfikować kto dostał ukradzioną w ten sposób kasę.
To co mnie bardziej martwi to inna korzyść takie hacknięte VoIPy są idealne do ukrywania połączeń telefonicznych przestępców/terrorystów.