Inseguridad en Elastix: estadísticas actualizadas (México)

3 Nov

Hace algunos meses publiqué un artículo sobre estadísticas de inseguridad en Elastix y los resultados fueron bastante alarmantes, ya que el estudio claramente indicaba que quienes se habían encargado de instalar los sistemas no habían seguido muchos de los consejos básicos de seguridad tales como no exponer el HTTPS a internet ni mucho menos cambiar las contraseñas default puestas. Por tal motivo, durante este año se reportaron múltiples casos de empresas  a los que les habían cometido algún tipo de fraude telefónico, representando pérdidas de varios cientos o miles de dólares en tan solo una noche.

Hoy, con motivo del inicio del Elastix World precisamente en México, decidí repetir el ejercicio para hacer un comparativo de como han cambiado los números desde aquel entonces. Aquí mis resultados obtenidos:

Los resultados fueron:

– Total de equipos escaneados (en México): 27.8 millones
– Total de equipos con puerto TCP 443 expuesto: 67,887
– Total de equipos con puerto TCP 443 expuesto y que usan Elastix: 336

De los equipos con Elastix expuesto:

– Presentan algún tipo de vulnerabilidad descubierta: 102 (27.87%)
– Tienen acceso mediante UDP 5060 (SIP):  102 (27.87%)
– Tienen alguna contraseña default en FreePBX: 82 (22.40%)
– Siguen usando ‘palosanto’ como contraseña de Elastix: 9 (2.46%)
– No han parchado la vulnerabilidad del ‘asteriskuser’: 120 (32.79%)
– Usan la misma contraseña para FreePBX y para Elastix: 4 (1.09%)
– Utilizan una versión muy vieja de FreePBX (2.5 o menor): 43 (11.75%)

De los equipos con vulnerabilidades que permiten acceso:

– Se detectaron extensiones completas (usuarios, contraseñas y correos electrónicos) de 1,192 personas

Tomen en cuenta que todos estos números son reales, ya que el estudio fue conducido sobre equipos en producción durante la noche del 2/noviembre/2011.

Tras analizar los números, es posible ver que ha habido una notable mejoría. Sin embargo, muchas empresas siguen desprevenidas contra ataques por no seguir simples reglas de seguridad básicas (las cuales se mencionan en el artículo inicial)

Ahora, tras los números, mi opinión personal: ¿Es Elastix una herramienta insegura? No, no lo es. Ha tenido sus vulnerabilidades relacionadas con las herramientas que incorpora (tal como FreePBX), pero todos estos males podrían haberse resuelto si tan solo los “administradores” que las instalaron hubieran tomado 5 minutos extras en asegurar su conmutador después de haber hecho la instalación. De hecho, creo que el principal problema de las herramientas que hacen la labor de instalación más sencilla (tal como Elastix lo es), es que cualquier persona piensa que por meter un CD y dar unos cuantos clicks ya terminó todo, cuando realmente se requiere preparación y conocimiento detrás de cada acción para saber lo que se está haciendo. Desafortunadamente, personas con este perfil son las que le dan una mala reputación a los sistemas VoIP (y a quienes nos encargamos de ofrecerlos), haciendo que se genere desconfianza para muchos por culpa de tan solo algunos.

Una vez más, no me queda recomendarles mas que asegurar sus equipos. Hoy más que nunca, los fraudes telefónicos están a la orden del día.

¡Suerte!

Christian Cabrera

Soy un ingenieron en comunicaciones con especial interés en el área de voz sobre IP y tecnologías sobre información. He usado Asterisk de manera diaria desde hace más de 12 años.En el 2011 co-fundé Enlaza Comunicaciones, una empresa que se especializa en brindar servicios profesionales de consultoría sobre voz sobre IP basadas en Asterisk.

  • Ludwig Ramirez

    Hola Christian, te confieso que cuando empece a leer el post iba a escribir un comentario como: “Cual es el ataque a Elastix, si existen otras 4 distros bien populares igual de vulnerables”, pero en la medida en que continue la lectura me complací de la finalidad real del articulo, el cual para mi entender es hacer caer en cuenta que la seguridad la da el implementador y la distribucion nada tiene que ver con ello, hoy que el usuario comun no se cansa de decir que Voip es insegura, pero la culpa final es de quien personas mediocres que como bien dices nada saben del tema y con poner a andar 3 extensiones y una troncal se dicen “Expertos del Tema”.

    Mis respetos para ti y la forma en que lo escribiste no tiene una “coma” que quitar!, y desde Barranquilla – Colombia un saludo!

    Ojala sigas con este tipo de articulos que por lo menos tratan de abrirle un poquito los ojos a los “Expertos del tema”.

    • Ludwig,

      Gracias por tus comentarios. En efecto, mi intención cuando hago llamados de atención nunca ha sido “atacar por atacar” a nadie ni a nada, sino siempre tratar de ver las cosas desde un punto de vista objetivo y ver las cosas como son.

      No tengo números para dar certeza, pero creo que al menos en América Latina Elastix es la distribución más utilizada (y por lo tanto, la más atacada). Es como Windows, que debe tener consigo el 95% de los virus que existen actualmente. Por tal motivo, mi reporte se basa en equipos Elastix, pero nunca con afán de atacar a Elastix, al contrario. Reconozco que es una excelente herramienta, pero con la misma franqueza digo lo siguiente: no es para todos. Tiene errores, tiene módulos que creo yo que están incompletos o con errores, pero aún así en general es un buen producto para el 90% de los casos. Para el resto, hay que saber complementarlo con otras cosas o bien, con otros servicios o aplicaciones.

      Nuevamente gracias por participar. Espero mantener la expectativa por este tipo de artículos de manera que ayuden a reflexionar a todos aquellos que en nuestro día con día ocupamos Elastix.

      Saludos,

  • Fernando Villares

    Estimado amigo fijate despues que te están robando el post y poniendolo sin tus derechos de autor es decir, sin poner el origen o fuente… ejemplo estos …

    http://www.fenixsolutions.com.ar/telefonia/asterisk/inseguridad-en-elastix-estadisticas-actualizadas/ yo si te pido autorización para postearlo en sinologic.net el blog mas leido en español de voip…te pido me confirmes si nos dejas repetir le post contigo como origen de la info.

    • Fernando,

      He seguido el trabajo de Sinologic con el paso de los años y lo considero excelente, así que para mí seria un honor que lo republicaran allí citando la fuente original. De hecho aprovecho para decir respeto mucho la opinión que diste con tu artículo del “proyecto bicicleta” que lei hace ya tiempo.

      Sobre el reporte que me haces, agradezco tu atención. Procederé ahora mismo a reportarlo al menos via Twitter, esperando que aunque sea den la liga a la fuente.

      Gracias y saludos,

  • Pingback: » Disminuyó en gran medida la (In)Seguridad en Elastix Asterisk,elastix,inseguridad,mexico,VoIP,()

  • Jose Lara

    Aunque este articulo esta apuntado directamente a Elastix, el cual tanto como el primero los considero exelentes, es importante hacer notar que este aplica a toda distribucion como AsteriskNow, Trixbox, PBXinaFlash….ect.. y creo que todas esas brechas de seguridad cuentan con un proceso tanto para corregirlas directamente, como practicas para que dichas no queden expuestas. lo que significa que realmnete aunque las distro’s tengan problemas de seguridad, el problema de la mala administracion es mucho mayor.

    aunque soy de los que estoy trabajando en un security checklist para instalaciones nuevas y como verificar estos con instalaciones ya existentes, si comparto la idea de que algun dia tendremos que tener unas instalaciones que vengan “Security by default” como en los años 2003 hizo Microsoft y tarea que logro disminuir drasticamente los problemas de seguridad. ya que en vez de decirle al usuario que cierre lo que no necesita, dejaban todo cerrado por defecto y que el administrador abriera lo que necesite.

    por otro lado seria interesante saber que herramientas usaste para sacar estas estadisticas con el fin de que otros puedan hacer lo mismo o comprobar que es posible sacar las estadistas como las diste.

    un abrazo a todos.

    Jose Lara

    • Hola José,

      En efecto, en la mayoría de las pruebas que hice esto aplica para todas las distribuciones que se basan en FreePBX. Sin embargo, algunas son exclusivas del desarrollo de Elastix (como darte la posibilidad de consultar los datos completos de las extensiones SIN tener autenticación). Dejando este tema de la exclusividad a un lado, me referí a Elastix porque es la distribución que más usamos en México, y lo consideré el mejor punto de partida para mi investigación.

      Sobre las herramientas, usé nmap e hice mis propios scripts en PHP para evaluar las condiciones de seguridad que conozco. Por razones de mal uso no hago públicas mis herramientas, ya que sería exponer a que muchos “script kiddies” hicieran de las suyas en los equipos que estén sin proteger, ocasionando daños serios. Lo último que quiero es que aparte de los profesionales que hacen esto, ahora los amateurs se sumen también.

      Recibe un cordial saludo,

  • Pingback: Disminuyó en gran medida la (In)Seguridad en Elastix | Asterisk CR()

  • Rsc110880

    Saludos, el punto es que estoy haciendo una tesis sobre basada en Asterisk y los profesores me piden estadísticas sobre: seguridad, alta disponibilidad y calidad de servicio.

    • Con los números que publiqué puedes basarte para las estadísticas de noviembre del 2011. En este momento no tengo cifras más recientes.

      Saludos,

  • Elisa Esparza

    Una pregunta Christian, ¿puede el Elastix funcionar sin estar conectado a una red? es decir, puedo yo conectar únicamente mis líneas telefónicas digitales y no tener acceso a internet y tengo el servicio telefónico? ¿pueden hackear mi equipo en estas condiciones?

    • Elisa,

      Si, si puedes tenerlo desconectado de internet. Si no cometes errores en tu plan de llamadas (tal como permitir que alguien que te marcó desde el exterior vuelva a hacer una llamada con costo), no habría manera en que tuvieras este problema de seguridad.

      Saludos,

  • Edwin_narvaez

    Estimado Christian muy  interesante el  estudio que realizas, quisiera obtener estadisticas similares para mi pais, que programas usaste para obtener estos datos de manera rápida. Por tu  ayuda muchas gracias

    • Edwin,

      Usé nmap para escanear los puertos de millones de equipos de México, a partir de una lista de segmentos de red. Luego utilicé scripts propios que se conectaban al puerto HTTPs, descargaban la información y la reporteaban.Si te interesa hacer algo similar, debes conseguir los rangos de direcciones y hacer uso de nmap/wget para conseguir la información que requieres.
      Saludos,

  • Enarvaez

    Le comento  del porque de mi interes en este tema, estoy tratando de realizar un  trabajo de tesis sobre este tema cuyo fin , es que como institucion estatal a la que pertenezco, poder prevenir a nivel  de usuario que sus centrales puedan ser hackeadas, se ha trabajado  a nivel de operadora sobre implementación de medidas preventivas,  he visto  casos en los que han sido  usadas para sistemas bypass o para el refiling (llamadas a destinos costosos).

    He usado  herramientas como  el NMAP para escaneo  de puertos, pero  me toma mucho tiempo y de lo que comenta en su  post lo  ud. lo realizó  todo en una sola noche.

    Nuevamente por su  ayuda y  orientación gracias.

    • Las pruebas las realicé en un servidor dedicado en un datacenter, con 100Mbits/s de conexión a internet. Realicé un nmap por cada segmento /16 que escanee, con agresividad de 4, y con un tiempo de separación de 60s entre el inicio de uno con otro.

      Los escaneos los hice de madrugada, cuando todos los recursos del servidor están disponibles. También toma en cuenta que yo solo escanee el puerto HTTPS y ningún otro.

      El comando nmap que usé fue:nmap -sS -PN -T 4 -p T:443 –min-hostgroup 256 –min-parallelism 10 –open -oG archivo_temporal Obviamente hay que reemplazar el archivo temporal y la red a escanear. Toma en cuenta que este proceso consume muchisimos recursos, y más si los encimas uno con otro.
      Saludos,

  • Enarvaez

    Muchas gracias por su  ayuda, una pregunta adicional, dentro  del escaneo a los rangos de  direcciones IP que están asignados a mi país, como  se determina que esos equipos utilizan elastix u otro tipo de central IP.

    • Analizas el contenido del index.html y eso te dira que PBX estan usando.