Я использую: FreePBX 12.0.76.2 Asterisk 11.18.0 64-битный дистрибутив FreePBX 6.12.65
У меня есть много линий POTS для входящих и исходящих вызовов и SIP-транк Twilio для исходящие международные звонки.
У меня только что были повторные звонки с трех разных идентификаторов вызывающего абонента из южной Калифорнии, которые пытались позвонить на множество внутренних номеров в нашей компании. Сотрудники, принимающие вызов, услышат «подводный шум цифровых тонов», а затем повесят трубку. Затем эти звонящие обнаружили какой-то способ набирать сотни долларов международных звонков, совершаемых как через мой Twilio, так и через мои местные телефонные линии. Назначениями были мобильные номера Буркина-Фасо и Филиппин (примерно три из них звонили неоднократно, некоторые успешно в течение 15 минут, некоторые 4 минуты, и на большинство не ответили).
Я видел уязвимость в AMI, но я исправил ее с тех пор, как вышел патч.
Я занес в черный список телефонные номера, которые звонили (используя модуль черного списка), и это остановило звонки. Но я до сих пор не знаю, какую уязвимость им удалось использовать.
В CDR я вижу контекст, который они, по-видимому, используют при совершении исходящих вызовов: «макро-набор одного», а затем «из-внутреннего-xfer» или «из-транк-sip-TwilioTrunkOutB».
То же самое произошло с нашей старой FreePBX, которая работала под управлением PIAF v1.2.9, Asterisk 1.4.21.2, за исключением того, что они, похоже, использовали в своих интересах Misc Destination для мобильного телефона (с тех пор как он был удален), что каким-то образом позволяло им звонить на международные номера из нашей системы. . Таким образом, похоже, это не связано с каким-либо удаленным выполнением кода или повышением привилегий. Это какой-то эксплойт IVR.
Любые идеи, как это могло произойти? Я искал в Google все возможные комбинации и не видел никаких упоминаний об этом эксплойте.