长话短说,客户电话被入侵并被用来拨打非法电话。调查显示,电话的 Web UI 有一个端口转发条目,该条目受 6 位数字密码“保护”。我们假设该条目已被入侵,现在正在试图弄清楚他们是如何从那里获得分机密码的(UI 无法获取该密码,您也无法从 Web UI 检索到配置文件备份)。他们可以通过 Web UI 执行的一件事是更改注册服务器。
我知道密码从不以明文形式发送,但我认为质询/响应身份验证的主要目的是确保客户端的身份与他们所说的一致,以保护服务器。我不知道客户端受到多少保护。所以我的问题是:如果端点尝试向恶意 SIP 服务器进行注册,该服务器是否可以获取 SIP 凭证?
答案1
针对电话机的攻击是 VoIP 黑客攻击的当前趋势。众所周知,电话的 Web GUI 中存在漏洞,这些漏洞会暴露其内容(包括用于向 SIP 服务器注册的 SIP 凭据)。由于某些电话机直接连接到互联网,因此很难保护它们。(如果在内部网络上,则不应暴露 GUI)
其中一种攻击涉及 DNS 中毒,导致端点向外部 SIP 服务器注册并暴露凭据。
虽然保持手机固件更新是个好主意,但一定要使用 PBX 安全系统,该系统可以检测可疑的拨号模式、正在进行的呼叫数量/速率等。像“fail2ban”这样的简单工具永远无法捕获此类攻击。此外,使用“传播 IP”的攻击很难阻止,除非您的 VoIP 安全系统可以检测到它们。
请查看此有关安全性的 voip-info 页面voip 信息以及一些关于检测和阻止此类攻击的想法和产品的建议。