Хакер совершает международные звонки через мой IVR FreePBX

Я использую: FreePBX 12.0.76.2 Asterisk 11.18.0 64-битный дистрибутив FreePBX 6.12.65

У меня есть много линий POTS для входящих и исходящих вызовов и SIP-транк Twilio для исходящие международные звонки.

У меня только что были повторные звонки с трех разных идентификаторов вызывающего абонента из южной Калифорнии, которые пытались позвонить на множество внутренних номеров в нашей компании. Сотрудники, принимающие вызов, услышат «подводный шум цифровых тонов», а затем повесят трубку. Затем эти звонящие обнаружили какой-то способ набирать сотни долларов международных звонков, совершаемых как через мой Twilio, так и через мои местные телефонные линии. Назначениями были мобильные номера Буркина-Фасо и Филиппин (примерно три из них звонили неоднократно, некоторые успешно в течение 15 минут, некоторые 4 минуты, и на большинство не ответили).

Я видел уязвимость в AMI, но я исправил ее с тех пор, как вышел патч.

Я занес в черный список телефонные номера, которые звонили (используя модуль черного списка), и это остановило звонки. Но я до сих пор не знаю, какую уязвимость им удалось использовать.

В CDR я вижу контекст, который они, по-видимому, используют при совершении исходящих вызовов: «макро-набор одного», а затем «из-внутреннего-xfer» или «из-транк-sip-TwilioTrunkOutB».

То же самое произошло с нашей старой FreePBX, которая работала под управлением PIAF v1.2.9, Asterisk 1.4.21.2, за исключением того, что они, похоже, использовали в своих интересах Misc Destination для мобильного телефона (с тех пор как он был удален), что каким-то образом позволяло им звонить на международные номера из нашей системы. . Таким образом, похоже, это не связано с каким-либо удаленным выполнением кода или повышением привилегий. Это какой-то эксплойт IVR.

Любые идеи, как это могло произойти? Я искал в Google все возможные комбинации и не видел никаких упоминаний об этом эксплойте.


twilio freepbx asterisk ivr
person ITIA    schedule 11.04.2016    source источник
comment
если он у вас есть, можете ли вы захватить и опубликовать полный вывод потока вызовов rouge из консоли? Похоже, кто-то нашел способ войти либо через DISA/SIP/IAX, либо через внутренний добавочный номер с DDI, который позволяет передавать на pstn.   -  person user3788685    schedule 13.04.2016

Ответы (1)


arrow_upward
5
arrow_downward

Решено!!!

Когда я включил DTMF в разделе «Веб-интерфейс FreePBX / Настройки / Настройки файла журнала Asterisk», который сохраняется в Asterisk /var/log/asterisk/full.log, я поймал нарушителя, набирающего случайные расширения, пока они не получили действительный, и момент Сотрудник взял трубку, они набрали *2 (перевод с участием Asterisk при вызове), который предназначен для набора нашими сотрудниками. в тот момент, когда нарушитель набирает *2, Asterisk дает ему контроль над переводом звонка (после чего они могут набрать любой номер по своему желанию), давая нашему сотруднику тишину, а затем вешает трубку, а преступник продолжает свой международный (бесплатный) звонок, и после завершения этого звонка они снова нажимают * 2 и набирают другой международный вызов.

Ой. Как больно.

Решение 1: Таким образом, в разделе «Веб-интерфейс FreePBX / Администратор / Коды функций» вы можете отключить *2 и ## (и любые другие бесполезные коды функций, которыми может воспользоваться бот).

Решение 2. В разделе «Веб-интерфейс FreePBX/Настройки/Дополнительные настройки/Диалплан и Операции/Параметры набора номера Asterisk и Параметры исходящего транка Asterisk» вы можете удалить «Tt» на обоих и оставить первый с « r" (который редактирует значения по умолчанию для каждого транка... если вы не обошли это на любом транке). И не забудьте нажать зеленую галочку рядом с каждым и нажать большую красную кнопку «Применить конфигурацию». Я протестировал повторное включение функций *2 и ##, и это изменение также отключило их.

Я решил применить оба решения.

Спасибо, ребята, за вашу помощь, и я надеюсь, что это поможет кому-то еще, кого взломали с помощью мошеннических звонков, повторного набора номера, военного набора номера или как они это называют. И к черту компании-мошенники с телефонными картами или хакеров, использующих эту уязвимость!

Примечание. На самом деле я прослушал один из этих звонков (с ChanSpy) и обнаружил, что нахожусь в двустороннем общении на испанском языке с кем-то на Филиппинах. Должно быть, это сомнительная служба визитных карточек, поддерживающая ничего не подозревающих жертв Asterisk. Стыд. Я надеюсь, что мои многочисленные сообщения по этой проблеме будут должным образом проиндексированы в Google, чтобы все, кто сталкивался с этим, знали, как заполнить дыру.

РЕДАКТИРОВАТЬ: После подачи заявки в FreePBX они перешли на нее и через несколько дней (по состоянию на 13 апреля 2016 г.) получат исправление, которое дает вам возможность ограничить параметр «T» до вызов внутреннего персонала из системы. У вызывающих абонентов будет удалена буква «T» из параметров Dial(), несмотря ни на что. Очевидно, они не могут просто удалить параметр «Tt» по умолчанию из своих дистрибутивов, потому что многим пользователям требуется эта функциональность в их ситуации. По-видимому, это была проблема с первого дня существования Asterisk.

person ITIA    schedule 14.04.2016