Pentesting VoIP

Reading time: 25 minutes

Podstawowe informacje o VoIP

Aby rozpocząć naukę o tym, jak działa VoIP, sprawdź:

Basic VoIP Protocols

Podstawowe wiadomości

Request name	Description								RFC references
------------------------------------------------------------------------------------------------------
REGISTER	Register a SIP user.							RFC 3261
INVITE		Initiate a dialog for establishing a call. 				RFC 3261
ACK		Confirm that an entity has received.					RFC 3261
BYE		Signal termination of a dialog and end a call.				RFC 3261
CANCEL		Cancel any pending request.						RFC 3261
UPDATE		Modify the state of a session without changing the state of the dialog.	RFC 3311
REFER		Ask recipient to issue a request for the purpose of call transfer.	RFC 3515
PRACK		Provisional acknowledgement.						RFC 3262
SUBSCRIBE	Initiates a subscription for notification of events from a notifier.	RFC 6665
NOTIFY		Inform a subscriber of notifications of a new event.			RFC 6665
PUBLISH		Publish an event to a notification server.				RFC 3903
MESSAGE		Deliver a text message.	Used in instant messaging applications.		RFC 3428
INFO		Send mid-session information that does not modify the session state.	RFC 6086
OPTIONS		Query the capabilities of an endpoint					RFC 3261

Kody Odpowiedzi

1xx—Odpowiedzi Provisionalne

100 Trying
180 Ringing
181 Call is Being Forwarded
182 Queued
183 Session Progress
199 Early Dialog Terminated

2xx—Odpowiedzi pomyślne

200 OK
202 Accepted
204 No Notification

3xx—Odpowiedzi Przekierowujące

300 Multiple Choices
301 Moved Permanently
302 Moved Temporarily
305 Use Proxy
380 Alternative Service

4xx—Odpowiedzi o błędach klienta

400 Bad Request
401 Unauthorized
402 Payment Required
403 Forbidden
404 Not Found
405 Method Not Allowed
406 Not Acceptable
407 Proxy Authentication Required
408 Request Timeout
409 Conflict
410 Gone
411 Length Required
412 Conditional Request Failed
413 Request Entity Too Large
414 Request-URI Too Long
415 Unsupported Media Type
416 Unsupported URI Scheme
417 Unknown Resource-Priority
420 Bad Extension
421 Extension Required
422 Session Interval Too Small
423 Interval Too Brief
424 Bad Location Information
425 Bad Alert Message
428 Use Identity Header
429 Provide Referrer Identity
430 Flow Failed
433 Anonymity Disallowed
436 Bad Identity-Info
437 Unsupported Certificate
438 Invalid Identity Header
439 First Hop Lacks Outbound Support
440 Max-Breadth Exceeded
469 Bad Info Package
470 Consent Needed
480 Temporarily Unavailable
481 Call/Transaction Does Not Exist
482 Loop Detected
483 Too Many Hops
484 Address Incomplete
485 Ambiguous
486 Busy Here
487 Request Terminated
488 Not Acceptable Here
489 Bad Event
491 Request Pending
493 Undecipherable
494 Security Agreement Required

5xx—Odpowiedzi o błędach serwera

500 Internal Server Error
501 Not Implemented
502 Bad Gateway
503 Service Unavailable
504 Server Time-out
505 Version Not Supported
513 Message Too Large
555 Push Notification Service Not Supported
580 Precondition Failure

6xx—Global Failure Responses

600 Busy Everywhere
603 Decline
604 Does Not Exist Anywhere
606 Not Acceptable
607 Unwanted
608 Rejected

VoIP Enumeration

Numery Telefonów

Jednym z pierwszych kroków, które może podjąć Red Team, jest wyszukiwanie dostępnych numerów telefonów, aby skontaktować się z firmą, korzystając z narzędzi OSINT, wyszukiwania w Google lub skanowania stron internetowych.

Gdy masz numery telefonów, możesz skorzystać z usług online, aby zidentyfikować operatora:

• https://www.numberingplans.com/?page=analysis&sub=phonenr
• https://mobilenumbertracker.com/
• https://www.whitepages.com/
• https://www.twilio.com/lookup

Znając operatora, który świadczy usługi VoIP, możesz zidentyfikować, czy firma korzysta z VoIP... Co więcej, możliwe, że firma nie zatrudniła usług VoIP, ale używa kart PSTN, aby połączyć swoją własną centralę VoIP z tradycyjną siecią telefoniczną.

Rzeczy takie jak automatyczne odpowiedzi z muzyką zazwyczaj wskazują, że używane jest VoIP.

Google Dorks

# Grandstream phones
intitle:"Grandstream Device Configuration" Password
intitle:"Grandstream Device Configuration" (intext:password & intext:"Grandstream Device Configuration" & intext:"Grandstream Networks" | inurl:cgi-bin) -.com|org

# Cisco Callmanager
inurl:"ccmuser/logon.asp"
intitle:"Cisco CallManager User Options Log On" "Please enter your User ID and Password in the spaces provided below and click the Log On button"

# Cisco phones
inurl:"NetworkConfiguration" cisco

# Linksys phones
intitle:"Sipura SPA Configuration"

# Snom phones
intitle:"snom" intext:"Welcome to Your Phone!" inurl:line_login.htm

# Polycom SoundPoint IP & phones
intitle:"SoundPoint IP Configuration Utility - Registration"
"Welcome to Polycom Web Configuration Utility" "Login as" "Password"
intext: "Welcome to Polycom Web Configuration Utility" intitle:"Polycom - Configuration Utility" inurl:"coreConf.htm"
intitle:"Polycom Login" inurl:"/login.html"
intitle:"Polycom Login" -.com

# Elastix
intitle:"Elastix - Login page" intext:"Elastix is licensed under GPL"

# FreePBX
inurl:"maint/index.php?FreePBX" intitle: "FreePBX" intext:"FreePBX Admministration"

OSINT information

Każda inna enumeracja OSINT, która pomoże zidentyfikować używane oprogramowanie VoIP, będzie pomocna dla Red Team.

Network Enumeration

• nmap jest w stanie skanować usługi UDP, ale z powodu liczby skanowanych usług UDP, jest bardzo wolny i może nie być zbyt dokładny w przypadku tego rodzaju usług.

sudo nmap --script=sip-methods -sU -p 5060 10.10.0.0/24

• svmap z SIPVicious (sudo apt install sipvicious): Zlokalizuje usługi SIP w wskazanej sieci.
• svmap jest łatwy do zablokowania, ponieważ używa User-Agent friendly-scanner, ale możesz zmodyfikować kod z /usr/share/sipvicious/sipvicious i go zmienić.

# Use --fp to fingerprint the services
svmap 10.10.0.0/24 -p 5060-5070 [--fp]

• SIPPTS scan from sippts: SIPPTS scan to bardzo szybki skaner dla usług SIP przez UDP, TCP lub TLS. Używa wielowątkowości i może skanować duże zakresy sieci. Umożliwia łatwe wskazanie zakresu portów, skanowanie zarówno TCP, jak i UDP, użycie innej metody (domyślnie użyje OPTIONS) oraz określenie innego User-Agent (i więcej).

sippts scan -i 10.10.0.0/24 -p all -r 5060-5080 -th 200 -ua Cisco [-m REGISTER]

[!] IP/Network: 10.10.0.0/24
[!] Port range: 5060-5080
[!] Protocol: UDP, TCP, TLS
[!] Method to scan: REGISTER
[!] Customized User-Agent: Cisco
[!] Used threads: 200

• metasploit:

auxiliary/scanner/sip/options_tcp normal  No     SIP Endpoint Scanner (TCP)
auxiliary/scanner/sip/options     normal  No     SIP Endpoint Scanner (UDP)

Dodatkowa enumeracja sieci

PBX może również udostępniać inne usługi sieciowe, takie jak:

• 69/UDP (TFTP): Aktualizacje oprogramowania
• 80 (HTTP) / 443 (HTTPS): Zarządzanie urządzeniem z poziomu sieci
• 389 (LDAP): Alternatywa do przechowywania informacji o użytkownikach
• 3306 (MySQL): Baza danych MySQL
• 5038 (Manager): Umożliwia korzystanie z Asteriska z innych platform
• 5222 (XMPP): Wiadomości za pomocą Jabber
• 5432 (PostgreSQL): Baza danych PostgreSQL
• I inne...

Enumeracja metod

Możliwe jest znalezienie które metody są dostępne do użycia w PBX za pomocą SIPPTS enumerate z sippts

sippts enumerate -i 10.10.0.10

Analizowanie odpowiedzi serwera

Bardzo ważne jest, aby analizować nagłówki, które serwer do nas wysyła, w zależności od rodzaju wiadomości i nagłówków, które wysyłamy. Z SIPPTS send z sippts możemy wysyłać spersonalizowane wiadomości, manipulując wszystkimi nagłówkami, i analizować odpowiedź.

sippts send -i 10.10.0.10 -m INVITE -ua Grandstream -fu 200 -fn Bob -fd 11.0.0.1 -tu 201 -fn Alice -td 11.0.0.2 -header "Allow-Events: presence" -sdp

Możliwe jest również uzyskanie danych, jeśli serwer używa websockets. Z SIPPTS wssend z sippts możemy wysyłać spersonalizowane wiadomości WS.

sippts wssend -i 10.10.0.10 -r 443 -path /ws

Enumeracja rozszerzeń

Rozszerzenia w systemie PBX (Prywatna Centrala Telefoniczna) odnoszą się do unikalnych identyfikatorów wewnętrznych przypisanych do poszczególnych linii telefonicznych, urządzeń lub użytkowników w organizacji lub firmie. Rozszerzenia umożliwiają efektywne kierowanie połączeń wewnątrz organizacji, bez potrzeby posiadania indywidualnych zewnętrznych numerów telefonów dla każdego użytkownika lub urządzenia.

• svwar z SIPVicious (sudo apt install sipvicious): svwar to darmowy skaner linii rozszerzeń SIP PBX. W koncepcji działa podobnie do tradycyjnych wardialerów, zgadując zakres rozszerzeń lub podaną listę rozszerzeń.

svwar 10.10.0.10 -p5060 -e100-300 -m REGISTER

• SIPPTS exten from sippts: SIPPTS exten identyfikuje rozszerzenia na serwerze SIP. Sipexten może sprawdzać duże zakresy sieci i portów.

sippts exten -i 10.10.0.10 -r 5060 -e 100-200

• metasploit: Możesz również enumerować rozszerzenia/nazwy użytkowników za pomocą metasploit:

auxiliary/scanner/sip/enumerator_tcp  normal  No     SIP Username Enumerator (TCP)
auxiliary/scanner/sip/enumerator      normal  No     SIP Username Enumerator (UDP)

• enumiax (apt install enumiax): enumIAX to protokół Inter Asterisk Exchange do enumeracji nazw użytkowników metodą brute-force. enumIAX może działać w dwóch odrębnych trybach: Sekwencyjne Zgadywanie Nazw Użytkowników lub Atak Słownikowy.

enumiax -d /usr/share/wordlists/metasploit/unix_users.txt 10.10.0.10 # Use dictionary
enumiax -v -m3 -M3 10.10.0.10

Ataki VoIP

Atak Brute-Force na hasła - online

Po odkryciu PBX i kilku rozszerzeń/nazw użytkowników, Zespół Czerwony może spróbować uwierzytelnić się za pomocą metody REGISTER do rozszerzenia, używając słownika powszechnych haseł do przeprowadzenia ataku brute force na uwierzytelnienie.

• svcrack z SIPVicious (sudo apt install sipvicious): SVCrack pozwala na złamanie hasła dla konkretnej nazwy użytkownika/rozszerzenia na PBX.

svcrack -u100 -d dictionary.txt udp://10.0.0.1:5080 #Crack known username
svcrack -u100 -r1-9999 -z4 10.0.0.1 #Check username in extensions

• SIPPTS rcrack from sippts: SIPPTS rcrack to zdalny program do łamania haseł dla usług SIP. Rcrack może testować hasła dla kilku użytkowników w różnych adresach IP i zakresach portów.

sippts rcrack -i 10.10.0.10 -e 100,101,103-105 -w wordlist/rockyou.txt

• Metasploit:
• https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack.rb
• https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack_tcp.rb

VoIP Sniffing

Jeśli znajdziesz sprzęt VoIP w otwartej sieci Wifi, możesz przechwycić wszystkie informacje. Co więcej, jeśli jesteś w bardziej zamkniętej sieci (połączonej przez Ethernet lub chronioną Wifi), możesz przeprowadzić ataki MitM, takie jak ARPspoofing między PBX a bramą, aby przechwycić informacje.

Wśród informacji sieciowych możesz znaleźć dane logowania do zarządzania sprzętem, numery wewnętrzne użytkowników, nazwy użytkowników, adresy IP, a nawet zhardcodowane hasła i pakiety RTP, które możesz odtworzyć, aby usłyszeć rozmowę, i więcej.

Aby uzyskać te informacje, możesz użyć narzędzi takich jak Wireshark, tcpdump... ale specjalnie stworzone narzędzie do przechwytywania rozmów VoIP to ucsniff.

SIP credentials (Password Brute-Force - offline)

Sprawdź ten przykład, aby lepiej zrozumieć komunikację SIP REGISTER, aby dowiedzieć się, jak dane logowania są wysyłane.

• sipdump i sipcrack, część sipcrack (apt-get install sipcrack): Te narzędzia mogą wyodrębnić z pcap uwierzytelnienia digest w protokole SIP i przeprowadzić atak brute-force.

sipdump -p net-capture.pcap sip-creds.txt
sipcrack sip-creds.txt -w dict.txt

• SIPPTS dump z sippts: SIPPTS dump może wyodrębnić uwierzytelnienia digest z pliku pcap.

sippts dump -f capture.pcap -o data.txt

• SIPPTS dcrack from sippts: SIPPTS dcrack to narzędzie do łamania uwierzytelnień digestowych uzyskanych za pomocą zrzutu SIPPTS.

sippts dcrack -f data.txt -w wordlist/rockyou.txt

• SIPPTS tshark z sippts: SIPPTS tshark wyodrębnia dane protokołu SIP z pliku PCAP.

sippts tshark -f capture.pcap [-filter auth]

Kody DTMF

Nie tylko dane uwierzytelniające SIP mogą być znalezione w ruchu sieciowym, możliwe jest również znalezienie kodów DTMF, które są używane na przykład do uzyskania dostępu do poczty głosowej.
Można wysyłać te kody w wiadomościach INFO SIP, w audio lub wewnątrz pakietów RTP. Jeśli kody znajdują się w pakietach RTP, możesz wyciąć tę część rozmowy i użyć narzędzia multimo, aby je wyodrębnić:

multimon -a DTMF -t wac pin.wav

Free Calls / Asterisks Connections Misconfigurations

W Asterisku możliwe jest zezwolenie na połączenie z konkretnego adresu IP lub z dowolnego adresu IP:

host=10.10.10.10
host=dynamic

Jeśli adres IP jest określony, host nie będzie musiał wysyłać żądań REGISTER co jakiś czas (w pakiecie REGISTER wysyłany jest czas życia, zazwyczaj 30 minut, co oznacza, że w innym scenariuszu telefon będzie musiał REJESTROWAĆ się co 30 minut). Jednak będzie musiał mieć otwarte porty umożliwiające połączenia z serwerem VoIP, aby odbierać połączenia.

Aby zdefiniować użytkowników, można ich zdefiniować jako:

• type=user: Użytkownik może odbierać połączenia tylko jako użytkownik.
• type=friend: Możliwe jest wykonywanie połączeń jako peer i odbieranie ich jako użytkownik (używane z rozszerzeniami)
• type=peer: Możliwe jest wysyłanie i odbieranie połączeń jako peer (SIP-trunki)

Możliwe jest również nawiązanie zaufania za pomocą zmiennej insecure:

• insecure=port: Umożliwia połączenia peer weryfikowane przez IP.
• insecure=invite: Nie wymaga uwierzytelnienia dla wiadomości INVITE
• insecure=port,invite: Oba

Darmowe Połączenia / Błędy Konfiguracji Kontekstów Asteriska

W Asterisku kontekst to nazwany kontener lub sekcja w planie numeracyjnym, która grupuje powiązane rozszerzenia, akcje i zasady. Plan numeracyjny jest kluczowym elementem systemu Asterisk, ponieważ definiuje jak są obsługiwane i kierowane połączenia przychodzące i wychodzące. Konteksty są używane do organizacji planu numeracyjnego, zarządzania kontrolą dostępu i zapewnienia separacji między różnymi częściami systemu.

Każdy kontekst jest definiowany w pliku konfiguracyjnym, zazwyczaj w pliku extensions.conf. Konteksty są oznaczane nawiasami kwadratowymi, a nazwa kontekstu jest umieszczona w ich wnętrzu. Na przykład:

csharpCopy code[my_context]

W kontekście definiujesz rozszerzenia (wzorce wybieranych numerów) i przypisujesz je do serii działań lub aplikacji. Te działania określają, jak połączenie jest przetwarzane. Na przykład:

[my_context]
exten => 100,1,Answer()
exten => 100,n,Playback(welcome)
exten => 100,n,Hangup()

Ten przykład demonstruje prosty kontekst o nazwie "my_context" z rozszerzeniem "100". Gdy ktoś wybierze 100, połączenie zostanie odebrane, zostanie odtworzona wiadomość powitalna, a następnie połączenie zostanie zakończone.

To jest inny kontekst, który pozwala na wywołanie dowolnego innego numeru:

[external]
exten => _X.,1,Dial(SIP/trunk/${EXTEN})

Jeśli administrator definiuje domyślny kontekst jako:

[default]
include => my_context
include => external

• SIPPTS invite z sippts: SIPPTS invite sprawdza, czy serwer PBX pozwala nam na wykonywanie połączeń bez autoryzacji. Jeśli serwer SIP ma nieprawidłową konfigurację, pozwoli nam na wykonywanie połączeń do numerów zewnętrznych. Może również pozwolić na przekazanie połączenia do drugiego numeru zewnętrznego.

Na przykład, jeśli Twój serwer Asterisk ma złą konfigurację kontekstu, możesz zaakceptować żądanie INVITE bez autoryzacji. W takim przypadku atakujący może wykonywać połączenia, nie znając żadnego użytkownika/hasła.

# Trying to make a call to the number 555555555 (without auth) with source number 200.
sippts invite -i  10.10.0.10 -fu 200 -tu 555555555 -v

# Trying to make a call to the number 555555555 (without auth) and transfer it to number 444444444.
sippts invite -i 10.10.0.10 -tu 555555555 -t 444444444

Darmowe połączenia / Źle skonfigurowane IVRS

IVRS oznacza System Interaktywnej Odpowiedzi Głosowej, technologię telekomunikacyjną, która pozwala użytkownikom na interakcję z systemem komputerowym za pomocą głosu lub tonów dotykowych. IVRS jest używane do budowy systemów automatycznego obsługi połączeń, które oferują szereg funkcji, takich jak dostarczanie informacji, kierowanie połączeń i zbieranie danych od użytkowników.

IVRS w systemach VoIP zazwyczaj składa się z:

1. Podpowiedzi głosowe: Wstępnie nagrane wiadomości audio, które prowadzą użytkowników przez opcje menu IVR i instrukcje.
2. DTMF (Dual-Tone Multi-Frequency) signaling: Tones dotykowe generowane przez naciśnięcie klawiszy na telefonie, które są używane do nawigacji po menu IVR i dostarczania danych.
3. Kierowanie połączeń: Kierowanie połączeń do odpowiedniego miejsca docelowego, takiego jak konkretne działy, agenci lub numery wewnętrzne na podstawie danych wprowadzonych przez użytkownika.
4. Zbieranie danych od użytkowników: Zbieranie informacji od dzwoniących, takich jak numery kont, identyfikatory spraw lub inne istotne dane.
5. Integracja z systemami zewnętrznymi: Łączenie systemu IVR z bazami danych lub innymi systemami oprogramowania w celu uzyskania lub aktualizacji informacji, wykonywania działań lub wyzwalania zdarzeń.

W systemie VoIP Asterisk możesz stworzyć IVR używając planu wybierania (extensions.conf file) oraz różnych aplikacji, takich jak Background(), Playback(), Read() i innych. Te aplikacje pomagają odtwarzać podpowiedzi głosowe, zbierać dane od użytkowników i kontrolować przepływ połączeń.

Przykład podatnej konfiguracji

exten => 0,100,Read(numbers,the_call,,,,5)
exten => 0,101,GotoIf("$[${numbers}"="1"]?200)
exten => 0,102,GotoIf("$[${numbers}"="2"]?300)
exten => 0,103,GotoIf("$[${numbers}"=""]?100)
exten => 0,104,Dial(LOCAL/${numbers})

Poprzedni to przykład, w którym użytkownik jest proszony o naciśnięcie 1, aby zadzwonić do działu, 2, aby zadzwonić do innego, lub pełnego numeru wewnętrznego, jeśli go zna.
Wrażliwość polega na tym, że wskazana długość numeru wewnętrznego nie jest sprawdzana, więc użytkownik może wprowadzić 5-sekundowy limit czasu jako pełny numer i zostanie on wywołany.

Wstrzykiwanie numeru wewnętrznego

Używając numeru wewnętrznego takiego jak:

exten => _X.,1,Dial(SIP/${EXTEN})

Gdzie ${EXTEN} to numer wewnętrzny, który będzie wywoływany, gdy wprowadzony zostanie ext 101, to co się wydarzy:

exten => 101,1,Dial(SIP/101)

Jednakże, jeśli ${EXTEN} pozwala na wprowadzenie więcej niż tylko cyfr (jak w starszych wersjach Asteriska), atakujący mógłby wprowadzić 101&SIP123123123, aby zadzwonić pod numer telefonu 123123123. A oto wynik:

exten => 101&SIP123123123,1,Dial(SIP/101&SIP123123123)

Zatem połączenie do rozszerzenia 101 i 123123123 zostanie wysłane, a tylko pierwsze z nich nawiąże połączenie... ale jeśli atakujący użyje rozszerzenia, które omija jakiekolwiek dopasowanie, które jest wykonywane, ale nie istnieje, może wstrzyknąć połączenie tylko do pożądanego numeru.

Wrażliwość SIPDigestLeak

Wrażliwość SIP Digest Leak dotyczy dużej liczby telefonów SIP, w tym zarówno sprzętowych, jak i programowych telefonów IP oraz adapterów telefonicznych (VoIP na analogowe). Wrażliwość ta pozwala na wyciek odpowiedzi na uwierzytelnienie Digest, która jest obliczana na podstawie hasła. Możliwy jest atak offline na hasło, który może odzyskać większość haseł na podstawie odpowiedzi na wyzwanie.

**Scenariusz wrażliwości stąd**:

1. Telefon IP (ofiara) nasłuchuje na dowolnym porcie (na przykład: 5060), akceptując połączenia telefoniczne
2. Atakujący wysyła INVITE do telefonu IP
3. Telefon ofiary zaczyna dzwonić, a ktoś odbiera i odkłada słuchawkę (ponieważ nikt nie odpowiada na telefon po drugiej stronie)
4. Gdy telefon zostaje odłożony, telefon ofiary wysyła BYE do atakującego
5. Atakujący wydaje odpowiedź 407, która prosi o uwierzytelnienie i wydaje wyzwanie uwierzytelniające
6. Telefon ofiary dostarcza odpowiedź na wyzwanie uwierzytelniające w drugim BYE
7. Atakujący może następnie przeprowadzić atak brute-force na odpowiedzi na wyzwanie na swoim lokalnym komputerze (lub w rozproszonej sieci itp.) i odgadnąć hasło

• Wyciek SIPPTS z sippts: Wyciek SIPPTS wykorzystuje wrażliwość SIP Digest Leak, która dotyczy dużej liczby telefonów SIP. Wynik można zapisać w formacie SipCrack, aby przeprowadzić atak brute-force za pomocą SIPPTS dcrack lub narzędzia SipCrack.

sippts leak -i 10.10.0.10

[!] Target: 10.10.0.10:5060/UDP
[!] Caller: 100
[!] Callee: 100

[=>] Request INVITE
[<=] Response 100 Trying
[<=] Response 180 Ringing
[<=] Response 200 OK
[=>] Request ACK
... waiting for BYE ...
[<=] Received BYE
[=>] Request 407 Proxy Authentication Required
[<=] Received BYE with digest
[=>] Request 200 Ok

Auth=Digest username="pepelux", realm="asterisk", nonce="lcwnqoz0", uri="sip:100@10.10.0.10:56583;transport=UDP", response="31fece0d4ff6fd524c1d4c9482e99bb2", algorithm=MD5

Click2Call

Click2Call pozwala użytkownikowi sieciowemu (który na przykład może być zainteresowany produktem) wprowadzić swój numer telefonu, aby otrzymać połączenie. Następnie zostanie wykonane połączenie do agenta, a gdy odbierze telefon, użytkownik zostanie połączony z agentem.

Typowy profil Asterisk dla tego to:

[web_user]
secret = complex_password
deny = 0.0.0.0/0.0.0.0
allow = 0.0.0.0/0.0.0.0
displayconnects = yes
read = system,call,log,verbose,agent,user,config,dtmf,reporting,crd,diapla
write = system,call,agent,user,config,command,reporting,originate

• Poprzedni profil pozwala na połączenie z DOWOLNYM adresem IP (jeśli hasło jest znane).
• Aby zorganizować połączenie, jak wcześniej określono, nie są potrzebne uprawnienia do odczytu i tylko originate w zapisie jest wymagane.

Z tymi uprawnieniami każdy adres IP znający hasło mógłby się połączyć i wydobyć zbyt wiele informacji, takich jak:

# Get all the peers
exec 3<>/dev/tcp/10.10.10.10/5038 && echo -e "Action: Login\nUsername:test\nSecret:password\nEvents: off\n\nAction:Command\nCommand: sip show peers\n\nAction: logoff\n\n">&3 && cat <&3

Więcej informacji lub działań może być wymaganych.

Podsłuchiwanie

W Asterisku możliwe jest użycie polecenia ChanSpy, wskazując numer(y) wewnętrzny(e) do monitorowania (lub wszystkie), aby słyszeć rozmowy, które się odbywają. To polecenie musi być przypisane do numeru wewnętrznego.

Na przykład, exten => 333,1,ChanSpy('all',qb) wskazuje, że jeśli zadzwonisz na numer wewnętrzny 333, będzie monitorować wszystkie numery wewnętrzne, rozpoczynając nasłuchiwanie za każdym razem, gdy rozpocznie się nowa rozmowa (b) w trybie cichym (q), ponieważ nie chcemy w nią ingerować. Możesz przechodzić z jednej rozmowy do drugiej, naciskając * lub wpisując numer wewnętrzny.

Możliwe jest również użycie ExtenSpy do monitorowania tylko jednego numeru wewnętrznego.

Zamiast słuchać rozmów, możliwe jest nagrywanie ich w plikach przy użyciu numeru wewnętrznego, takiego jak:

[recorded-context]
exten => _X.,1,Set(NAME=/tmp/${CONTEXT}_${EXTEN}_${CALLERID(num)}_${UNIQUEID}.wav)
exten => _X.,2,MixMonitor(${NAME})

Połączenia będą zapisywane w /tmp.

Możesz również sprawić, że Asterisk wykona skrypt, który ujawni połączenie po jego zakończeniu.

exten => h,1,System(/tmp/leak_conv.sh &)

Wrażliwość RTCPBleed

RTCPBleed to poważny problem bezpieczeństwa dotyczący serwerów VoIP opartych na Asterisk (opublikowany w 2017 roku). Wrażliwość ta pozwala na przechwytywanie i przekierowywanie ruchu RTP (Real Time Protocol), który przenosi rozmowy VoIP, przez każdego w Internecie. Dzieje się tak, ponieważ ruch RTP omija uwierzytelnianie podczas przechodzenia przez zapory NAT (Network Address Translation).

Proxysy RTP próbują rozwiązać ograniczenia NAT wpływające na systemy RTC, proxyzując strumienie RTP pomiędzy dwiema lub więcej stronami. Gdy NAT jest w użyciu, oprogramowanie proxy RTP często nie może polegać na informacjach o IP i porcie RTP uzyskanych przez sygnalizację (np. SIP). Dlatego wiele proxy RTP wdrożyło mechanizm, w którym taki tuplet IP i port jest uczony automatycznie. Często odbywa się to poprzez inspekcję przychodzącego ruchu RTP i oznaczanie źródłowego IP i portu dla wszelkiego przychodzącego ruchu RTP jako tego, na który należy odpowiedzieć. Ten mechanizm, który może być nazywany "trybem uczenia się", nie wykorzystuje żadnego rodzaju uwierzytelniania. Dlatego atakujący mogą wysyłać ruch RTP do proxy RTP i otrzymywać proxowany ruch RTP przeznaczony dla dzwoniącego lub odbierającego w trwającym strumieniu RTP. Nazywamy tę wrażliwość RTP Bleed, ponieważ pozwala atakującym na odbieranie strumieni mediów RTP przeznaczonych dla legalnych użytkowników.

Innym interesującym zachowaniem proxy RTP i stosów RTP jest to, że czasami, nawet jeśli nie są podatne na RTP Bleed, będą akceptować, przekazywać i/lub przetwarzać pakiety RTP z dowolnego źródła. Dlatego atakujący mogą wysyłać pakiety RTP, co może pozwolić im na wstrzyknięcie swojego medium zamiast legalnego. Nazywamy ten atak wstrzyknięciem RTP, ponieważ pozwala na wstrzyknięcie nielegalnych pakietów RTP do istniejących strumieni RTP. Ta wrażliwość może występować zarówno w proxy RTP, jak i punktach końcowych.

Asterisk i FreePBX tradycyjnie używały ustawienia NAT=yes, które umożliwia ruchowi RTP omijanie uwierzytelniania, co potencjalnie prowadzi do braku dźwięku lub dźwięku jednostronnego w połączeniach.

Aby uzyskać więcej informacji, sprawdź https://www.rtpbleed.com/

• SIPPTS rtpbleed z sippts: SIPPTS rtpbleed wykrywa wrażliwość RTP Bleed, wysyłając strumienie RTP.

sippts rtpbleed -i 10.10.0.10

• SIPPTS rtcpbleed z sippts: SIPPTS rtcpbleed wykrywa podatność RTP Bleed, wysyłając strumienie RTCP.

sippts rtcpbleed -i 10.10.0.10

• SIPPTS rtpbleedflood z sippts: SIPPTS rtpbleedflood wykorzystuje lukę RTP Bleed, wysyłając strumienie RTP.

sippts rtpbleedflood -i 10.10.0.10 -p 10070 -v

• SIPPTS rtpbleedinject from sippts: SIPPTS rtpbleedinject wykorzystuje lukę RTP Bleed, wstrzykując plik audio (format WAV).

sippts rtpbleedinject -i 10.10.0.10 -p 10070 -f audio.wav

RCE

W Asterisku w jakiś sposób udaje ci się dodać reguły rozszerzeń i je przeładować (na przykład poprzez skompromitowanie podatnego serwera menedżera webowego), możliwe jest uzyskanie RCE za pomocą polecenia System.

same => n,System(echo "Called at $(date)" >> /tmp/call_log.txt)

Istnieje polecenie zwane Shell, które można użyć zamiast System, aby wykonać polecenia systemowe, jeśli zajdzie taka potrzeba.

Ciekawe lokalne pliki i uprawnienia

• sip.conf -> Zawiera hasło użytkowników SIP.
• Jeśli serwer Asterisk działa jako root, możesz skompromitować root.
• użytkownik root mysql może nie mieć hasła.
• to może być użyte do stworzenia nowego użytkownika mysql jako backdoor.
• FreePBX
• amportal.conf -> Zawiera hasło administratora panelu webowego (FreePBX).
• FreePBX.conf -> Zawiera hasło użytkownika FreePBXuser używanego do uzyskania dostępu do bazy danych.
• to może być użyte do stworzenia nowego użytkownika mysql jako backdoor.
• Elastix
• Elastix.conf -> Zawiera kilka haseł w czystym tekście, takich jak hasło root mysql, hasło IMAPd, hasło administratora webowego.
• Kilka folderów będzie należało do skompromitowanego użytkownika asterisk (jeśli nie działa jako root). Użytkownik ten może odczytać poprzednie pliki i kontroluje konfigurację, więc może sprawić, że Asterisk załaduje inne zainfekowane binaria podczas wykonywania.

Wstrzykiwanie RTP

Możliwe jest wstawienie .wav w rozmowach za pomocą narzędzi takich jak rtpinsertsound (sudo apt install rtpinsertsound) i rtpmixsound (sudo apt install rtpmixsound).

Możesz również użyć skryptów z http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/, aby zeskanować rozmowy (rtpscan.pl), wysłać .wav do rozmowy (rtpsend.pl) i wstawić hałas w rozmowie (rtpflood.pl).

DoS

Istnieje kilka sposobów, aby spróbować osiągnąć DoS na serwerach VoIP.

• SIPPTS flood z sippts**: SIPPTS flood wysyła nieograniczoną liczbę wiadomości do celu.
• sippts flood -i 10.10.0.10 -m invite -v
• SIPPTS ping z sippts**: SIPPTS ping wykonuje ping SIP, aby zobaczyć czas odpowiedzi serwera.
• sippts ping -i 10.10.0.10
• IAXFlooder: DoS protokołu IAX używanego przez Asterisk.
• inviteflood: Narzędzie do przeprowadzania floodingu wiadomości SIP/SDP INVITE przez UDP/IP.
• rtpflood: Wysyła kilka dobrze uformowanych pakietów RTP. Należy znać porty RTP, które są używane (najpierw sniff).
• SIPp: Umożliwia analizę i generowanie ruchu SIP, więc może być również używane do DoS.
• SIPsak: Szwajcarski scyzoryk SIP. Może być również używane do przeprowadzania ataków SIP.
• Fuzzery: protos-sip, voiper.

Luki w systemie operacyjnym

Najłatwiejszym sposobem na zainstalowanie oprogramowania takiego jak Asterisk jest pobranie dystrybucji OS, która ma je już zainstalowane, takich jak: FreePBX, Elastix, Trixbox... Problem z nimi polega na tym, że gdy już działają, administratorzy systemów mogą nie aktualizować ich ponownie, a luki będą odkrywane z czasem.

Odnośniki

• https://github.com/Pepelux/sippts/wiki
• https://github.com/EnableSecurity/sipvicious
• http://blog.pepelux.org/
• https://www.rtpbleed.com/
• https://medium.com/vartai-security/practical-voip-penetration-testing-a1791602e1b4
• https://resources.enablesecurity.com/resources/sipdigestleak-tut.pdf