Zneužití telefonů Grandstream GXP1620 pomocí webu

[xsouku04]

Že útočník nějakým způsobem zneužije web nějakého VoIP zařízení, na které se mu podaří dostat, je běžné. Dnešní případ je ale poprvé, kdy se to stalo, přestože si uživatel změnil defaultní heslo k přihlašovacím jménům admin i user a nahrál si nejnovější firmware Grandstream GXP1620 1.0.5.3 . Možná je právě nejnovější firmware důvodem onoho prolomení. Uživatel tak dodržel všechna rozumná doporučení a přesto byl okraden.
Pozor tedy na přesměrovávání portů z veřejné adresy do lokální sítě, vždy by mělo být omezeno, z které adresy přesměrování funguje. Změna proběhla v cca 14 hodin odpoledne a kolem 21 hodiny večer zkoušel útočník už prozvánět svůj palestinský mobil, aby následující noc provolal veškerý kredit na čísla, z kterých dostává vyplacenou provizi. Na oněch drahých číslech pouští zvuky, aby to budilo dojem, že to je normální hovor.
Jak se dá volat z webu viz obrázek. Click to dial je defaultně údajně zakázáno a možné je volat i pomoci speciálního url [url]http://ip_address/cgi-bin/api-make_call?phonenumber=1234&account=0&login=admin&password=admin[/url] . Že se neznalost hesla dala obejít, nebo heslo uhádnout, je zjevně bug.

Podobnou obezřetnost bych doporučoval ohledně všech VoIP zařízení, roboti hledají něco takového na celém internetu, a proto je dobré webová rozhraní před přístupem z celého internetu chránit a přístup dovolit jen z předem známých adres, je-li to vůbec nutné. Máte-li vlastní ústřednu, mít zabezpečený web ještě něčím dalším je v podstatě nutnost.

[Pitomec]

Nějak jsem nepochopil, k čemu u GXP1620 někdo potřebuje směrovat porty...

[xsouku04]

Nějak jsem nepochopil, k čemu u GXP1620 někdo potřebuje směrovat porty...

No naštěstí se to moc neděje. Ale občas si nějaký administrátor řekne, že je dobré, aby mělo webové rozhraní přístupné i odjinud podobně, jak to dělá třeba u webkamery, tiskárny a podobných zařízení, a problém je tu. Ona ta webkamera se zjevně dá také občas hacknout, ale nikdo na internetu není moc zvědavý na to se přes ni koukat, protože z toho nemá žádné peníze, a tak se nic neděje. U VoIP to ale může být problém.

[alfi]

No naštěstí se to moc neděje. Ale občas si nějaký administrátor řekne, že je dobré, aby mělo webové rozhraní přístupné i od jinud podobně jak to dělá třeba u webkamery, tiskárny a podobných zařízení a problém je tu. Ona ta webkamera se zjevně dá také občas hacknout, ale nikdo na internetu není moc zvědavý na to se přes ni koukat, protože z toho nemá žádné peníze a tak se nic neděje. U VoIP to ale může být problém.

Občas ten administrátor není ve stejné LAN - a je pak zajímavé umět telefon nastavit i na dálku Ale obecně to je spíš riziko, stejně jako vystavit telefon na veřejnou IP bez firewallu. Softwary telefonů (i dalších podobných zařízení) jsou bohužel dost mizerné a ani nejnovější verze nezaručuje, že tam není nějaká díra nebo zapomenutý účet s defaultním heslem A to ještě pořádně nezačaly útoky nějakých červíků, které si člověk stáhne do PC nebo mobilu, ze kterého pak má dostupnou celou LAN..

[xsouku04]

Občas ten administrátor není ve stejné LAN - a je pak zajímavé umět telefon nastavit i na dálku Ale obecně to je spíš riziko, stejně jako vystavit telefon na veřejnou IP bez firewallu. Softwary telefonů (i dalších podobných zařízení) jsou bohužel dost mizerné a ani nejnovější verze nezaručuje, že tam není nějaká díra nebo zapomenutý účet s defaultním heslem A to ještě pořádně nezačaly útoky nějakých červíků, které si člověk stáhne do PC nebo mobilu, ze kterého pak má dostupnou celou LAN..

Naprosto přesně popsáno. Mimochodem sám jsem hledal Android aplikaci, která by umožnila přístup do lokální LAN, abych tak mohl zákazníkovi pomoci s nastavením telefonu v nějakých problémových případech nebo v případě, že zákazník nastavení nezvládne podle návodu, ale nainstalovat jednu jednoduchou aplikaci na svůj android by jistě zvládnul. Nic použitelného jsem nenašel, zdá se že se o této možnosti využití mobilu v podstatě neví. Přitom za programy jako teamviewer se běžně platí obrovské peníze a tato aplikace by je ve spoustě případů zdarma nahradila navíc bez nutnosti mít na místě počítač. Ona aplikace by šla použít na nastavování jakýchkoli "chytrých" věcí v domácí síti včetně samotného routeru. Samotný uživatel by si navíc mohl snadno vybrat kam přesně podporu pustí a bylo by to řádově datově efektivnější (často tedy i rychlejší a pohodlnější) než nástroje typu teamviewer. V kombinaci např. s programem Nomashine, by bylo možné teamviewer nahradit snad úplně a zdarma i když možná nepatrně méně pohodlně a s telefonem v nabíječce. Nomashine je snad i lepší než Teamviewer, zdarma nebo za jednorázový poplatek v rozumné výši, ale neřeší jak se dostat do lokální sítě s čímž by mohla pomoci při občasném použití ona android aplikace.

Ještě jeden postřeh. Velkou část škod, které se podařilo napáchat má na svědomí věřím jediný člověk. Je to nějaký Palestinec. Poznávací znamení je to, že jako první zkouší vždy volat svůj mobilní telefon v oblasti Palestinských území. On se právě specializuje na hackování konkrétních telefonů na které se mu podaří dostat z internetu. Asi musí být hodně bohatý protože dle wikipedie celkové škody podobných podvodů jsou v řádech miliard dolarů. Pokud by z toho měl jeden člověk (nebo jedna skupina) podíl třeba 10% a pokud beru v potaz že to dělá třeba 10 let je to pak určitě dolarový milionář. Své číslo zjevně nijak neschovává, nebojí se. Má k dispozici ip adresu ze všech zemí pomocí služby https://www.hidemyass.com . Dokonce jednou používal ip adresu ve stejné serverovně jako byla ta naše, jen o několik regálů vedle

[Pitomec]

TeamViewer je i zadarmo. A pokud je v síti k dispozici PC s Windows Pro, pak lze využít Remote Desktop. Zpřístupňovat routery, IP telefony a další zařízení pro nastavení na dálku je nesmysl a vždy potenciální riziko.

[xsouku04]

TeamViewer je i zadarmo. A pokud je v síti k dispozici PC s Windows Pro, pak lze využít Remote Desktop. Zpřístupňovat routery, IP telefony a další zařízení pro nastavení na dálku je nesmysl a vždy potenciální riziko.

No TeamViewer hlavně čeká až si na něj zvyknete a pak hrozí , že vás prostě nařkne, že jej používáte pro komerční účely ať zaplatíte. Nic nenaděláte i když to není pravda.
RDP pro Windows je určitě úplně nejlepší a nejúspornější varianta vzdáleného dekstopu, pokud je možná, opět stejně jako Nomashine neřeší jak se na ip adresu počítače dostat.

[Pitomec]

A ještě je Vzdálená plocha Chrome.

[alfi]

Ještě jeden postřeh. Velkou část škod, které se podařilo napáchat má na svědomí věřím jediný člověk. Je to nějaký Palestinec. Poznávací znamení je to, že jako první zkouší vždy volat svůj mobilní telefon v oblasti Palestinských území. On se právě specializuje na hackování konkrétních telefonů na které se mu podaří dostat z internetu. Asi musí být hodně bohatý protože dle wikipedie celkové škody podobných podvodů jsou v řádech miliard dolarů. Pokud by z toho měl jeden člověk (nebo jedna skupina) podíl třeba 10% a pokud beru v potaz že to dělá třeba 10 let je to pak určitě dolarový milionář. Své číslo zjevně nijak neschovává, nebojí se. Má k dispozici ip adresu ze všech zemí pomocí služby https://www.hidemyass.com . Dokonce jednou používal ip adresu ve stejné serverovně jako byla ta naše, jen o několik regálů vedle

Jj, palestinu jsme v práci taky často řešili Česká IP se objevovala jen vyjímečně. Vidím, že ani po letech se v tomhle nic nezměnilo

Na free remote přístup stačí i ten Google desktop. Pro častější spojení jde na spoustě routerů nastavit (open)vpn, např. ty od Asusu. Mobilní aplikace mě nenapadá - určitě by šel nastavit ssh tunel, ale uživateli s mobilem se to jednorázově bude blbě nastavovat (username, server, zadat heslo, remote port, lokální IP+port). Určitě to jde přednastavit pro pravidelného uživatele, vč. ssh klíče - pak jen klikne na ikonku a port je otevřený. Nové nastavení snad jedině s nějakým webovým průvodcem, který pak stáhne konfigurační profil?