Estadísticas de inseguridad en Elastix (México)

9 Mar

Hoy decidí realizar un estudio sobre las vulnerabilidades que sería capaz de encontrar en un entorno como Elastix en México. Me puse mi sombrero blanco y decidí escanear todas las posibles redes del país y buscar cuantos equipos utilizan la distribución antes mencionada (al menos las visibles en el puerto TCP 443), y los resultados fueron alarmantes. Aquí algunas estadísticas:

25.4 millones de hosts escaneados
69 mil tienen el puerto 443 abierto
467 equipos eran Elastix

Aclaro que esto no quiere decir que estos sean todos los equipos Elastix en México. Esto quiere decir que en una noche cualquiera fui capaz de encontrar 467 equipos visibles abiertamente en internet, los demás están tras algún firewall y son invisibles al exterior (¡bien!).

Ahora, para los números del terror:

  • 287 tienen algún tipo de dato “secreto” que se puede obtener fácilmente (contraseña de FreePBX, contraseña de Elastix, contraseñas de extensiones)
  • los mismos 287 tienen el puerto SIP abierto
  • 261 tenían algún tipo de contraseña default para FreePBX
  • 26 aún tenían la contraseña de “palosanto” para Elastix
  • 31 usan la misma contraseña en FreePBX que en Elastix
  • 42 aún usan FreePBX 2.5.x que muestra la contraseña de administrador en texto plano

Y quizá la más sobresaliente:

  • 197 usan alguna distribución de Elastix suficientemente vieja que permite descargar el archivo de batch extensions, entregándote el archivo que nombra todas las extensiones del sistema con sus respectivas contraseñas, dando un total de ¡8,300 extensiones disponibles para hacer llamadas en Elastix ajenos!

Esto quiere decir que aún con una tasa de fallo del 50%, tengo 4,150 de posibles extensiones desde las cuales se pueden sacar llamadas sin pagar un solo centavo, ocasionando tráfico VoIP que en pocas horas se convierte en facturas millonarias de teléfono.

Y si creen que exagero, échenle cuentas:

  • Supongan que de los 197 servidores visibles, al menos 170 tienen algún tipo de interfaz FXO o E1
  • Supongan que en una sesión de ataque promedio, puedo cursar llamadas por el mismo equipo (por la noche) durante unas 4 horas
  • Supongamos que promediando la cantidad de canales de E1 y de puertos FXO, puedo cursar 3 llamadas simultáneas por servidor

Esto me da un total de 4 horas * 60 minutos * 3 llamadas simultáneas * 170 servidores = 122,400 minutos de tráfico. Si el destino costara $7/min, hablamos de un total facturado de $856,800, ¡en unas horas!

Y claro que este es el espectro conservador: conozco casos de 2a persona que han tenido facturaciones de $24,000 en una sola pasada. Hagan números, y fácilmente comprenderán por que esto del robo de VoIP está tan de moda y resulta tan redituable.

Obviamente si no quieren convertirse en amigos de lo ajeno, sigan las ya super conocidas medidas de seguridad para cualquier entorno Asterisk:

  1. Siempre cambien las contraseñas default
  2. Tampoco usen palabras de diccionario como contraseña
  3. No den acceso desde el exterior si no se necesita. Esto aplica a los puertos UDP 5060 y TCP 22, 443 (los más comunes)
  4. User el permit deny dentro de Asterisk para limitar que IPs se registran en cada extensión.
  5. No usen contraseñas y passwords iguales (user:100 pass:100)
  6. Actualicen sus distribuciones a la más reciente versión
  7. Limiten la cantidad de llamadas simultáneas por extensión (¿Por qué razón Juan Pérez haría 20 llamadas a la vez?)
  8. Rechazen malas autenticaciones sin dar más detalles (alwaysauthreject=yes) en sip.conf
  9. Firewall firewall firewall
  10. Usen fail2ban para defenderse de ataques de fuerza bruta
  11. Autentiquen al usuario, no solo al teléfono (usen contraseñas post-marcado)
  12. Nieguen llamadas anónimas provenientes del exterior
  13. Definan planes de marcación limitados (ojo con el dialplan injection)

Asterisk/Elastix como tal son bastante seguros: es el administrador el que los hace inseguros al obviar cualquier de estos pasos sugeridos. Todos los puntos que aquí se mencionan también se estudian desde nuestros cursos Asterisk

Suerte, y…  ¡aseguren sus equipos!

Christian Cabrera

Soy un ingenieron en comunicaciones con especial interés en el área de voz sobre IP y tecnologías sobre información. He usado Asterisk de manera diaria desde hace más de 12 años.En el 2011 co-fundé Enlaza Comunicaciones, una empresa que se especializa en brindar servicios profesionales de consultoría sobre voz sobre IP basadas en Asterisk.

  • Max Brassart

    Muchas Gracia

    • Max, intenté contactar a Keptos a través de Manuel Gallegos para hacerles comentarios sobre la seguridad de su conmutador, pero no tuve respuesta. Hay muchos puntos allí que se pueden mejorar. Contáctenme si en algo puedo ayudarles.

  • Pingback: Estadísticas de inseguridad en Elastix (México) « Los 4 Mosqueteros()

  • Pingback: Consideraciones de seguridad en Elastix | Elastix Tech - Informacion Tecnica de Elastix()

  • Pingback: Asterisk México» Blog Archive » Protege tu Asterisk de ataques usando fail2ban()

  • Pingback: Asterisk México» Blog Archive » Inseguridad en Elastix: estadísticas actualizadas (México)()

  • Pingback: » Disminuyó en gran medida la (In)Seguridad en Elastix: estadísticas actualizadas (México). Asterisk,elastix,inseguridad,mexico,VoIP,()

  • Pingback: Disminuyó en gran medida la (In)Seguridad en Elastix | Asterisk CR()

  • Loera

    La forma mas sana sobretodo es que si se tiene que dar acceso al exterior a Asterisk siempre sea preferiblemente sobre una VPN.

  • Anónimo

    Exelente , muchas gracias

  • Cristobal Escobar

    Deben ponerle mucha atención a este tema. En una empresa que manejó lo hicieron y la gracia fue de USD$3700.

    • En efecto. Yo conozco historias de terror de $14,000 USD en un fin de semana

  • Milo Torres

    Mi servidor fue hackeado, hace  3 semanas, tengo 3 proveedores de VOIP, de los cuales, 2 detectaron el Hackeo, y me suspendieron las cuentas inmediatamente, en ambos proveedores la perdida no fue mas de 50 dolares, el problema vino con el 3er proveedor, que se consumio todo el saldo que tenia (300 dolares), hasta alli ningun problema

    El problema viene cuando una semana despues recibi una llamda de el, diciendome que tenia una cuenta de 1900 dolares, y que tenia los logs(obviamente) y que todo el trafico paso a travez de mi Ip, cabe aclarar que con cada proveedor tengo el servicio prepago, es decir que pongo recargas, y a cada cuenta le pongo no mas de 300 dolares.

    Mi pregunta es: se supone que si tu tienes Voip con una empresa, y le haces recargas es para precisamente no te sucedan cosas como esta, y si te llega a suceder, tengas ese tope de cuando se te acaba el saldo, no salgan mas llamadas, el 3er proveedor me alega de que si no se llega a un acuerdo y se paga la cuenta, nos van a denunciar con la COFETEL, ya que  me dice que el Uso de conmutadores Voip es ILEGAL, y que puedo hacerme acreedor a una multa bastante grande por no tener los permisos, y no nada mas eso, que por parte del Carrier, tambien van a demandarnos alegando este pago( ya que el es reseller) y que voy a tener bastantes problemas de dinero, que esos 1900 dolares se convertiran en un dolor de cabeza.

    Desde luego a mi criterio, el tipo esta intimidandonos con esos argumentos, aunque puede que tenga razon, yo le puse como ejemplo el servicio “Amigo” de Telcel, es como que si le pusiera una recarga de 100 pesos, y telcel me estuviera cobrando 1900 pesos, si me hackearon la linea o no, se que fue mi culpa o no igual, pero se supone en este ejemplo, que Telcel tiene un sistema que cuando se acaban mis 100 pesos, ya no puedo hacer mas llamadas, aun cuando Telcel me argumente que tiene mi Mac Address, direcccion Ip, Log de llamadas, etc.. Ustedes que harian banda 

    Es pero sus respuestas, Gracias  !!!

    • Milo,

      Si el sistema es de prepago, entonces tu responsabilidad termina al momento en que tu saldo se acaba. Si tu servicio fuera ilimitado, entonces quizá podría aplicarse alguna claúsula que especificara la definición de uso justo para ese servicio, y eso lo tendrias que revisar en tu contrato. Ese documento es el que tiene la última palabra.

      Si puede afirmarse que el servicio era únicamente prepago, y que el prepago era la totalidad del saldo para llamar y no solamente una “garantía'” para que te comprometieras a consumir, estás libre de culpa. El problema viene cuando te enteras que el prepago no era para el saldo, sino era para que hicieras tu inversión mínima para estar con el carrier y tener derecho al servicio.

      Sobre lo que te dicen que es ilegal, eso es total mentira. Si bien la parte de las telecomunicaciones aún no regula a la VoIP, tener un conmutador IP está totalmente permitido siempre que no revendas el servicio (si quisieras ofrecer servicios revendiendo a tu carrier eso seria otro boleto), pero si el consumo es personal y para tu uso, no estás infringiendo nada. Si usar conmutador IP fuera ilegal, más lo sería que tus carriers te vendieran el servicio por allí.

      Revisa tu contrato de servicios. Revisa la claúsula que diga que te haces responsable hasta por XXXX dólares en tu cuenta adicionales al saldo inicial que tuvieran. Si no es así, tu aceptas tu pérdida hasta el saldo que te corresponde. De lo contrario, ¿para que hacerlo prepago si te van a dejar consumir lo que tu quieras?

      Saludos,

      • Milo Torres

        Gracias Christian, respondo hasta ahorita, ya que por alguna razon crei que me habian borrado mi comentario, no lo podia ver !!, poes ciertamente como decias, no aplico nada de nada, al final deje de recibir llamadas del tipo, y desde luego no procedio demanda de ningun tipo, y ya mas empapado en cuanto al conocimiento de la legislacion de la Voip, por otro lado te comento, por pura curiosidad se me ocurrio consultar las facturas que nos daban del servicio de Voip, y resulta que la empresa de este señor nos facturaba como “Soporte Tecnico y Mantenimiento” por lo que el tampoco vende el servicio de manera legal, cosa contraria que el me argumentaba que tenia la consecion de la SCT, para poder vender el servicio, y el muy descarado hasta Pagina Web y tarjetas de presentacion tiene, podria facilmente ponerle dedo, pero la vdd, pa que me molesto, Karma !! Existe y mejor ni pa moverle !!, Gracias !!