Vorsicht Hacker!

Update Juni 2014:

In der letzten Zeit sehen wir wieder vermehrt Einbruchsversuche in VICIdial-Systeme. Stellen Sie sicher, dass Ihre Systeme nur intern in geschützten Netzwerken zu erreichen sind.  Nachdem Systeme gezielt über Suchmaschinen abgefragt werden, um diese anzugreifen, stellen Sie am besten auch sicher, dass die Systeme über eine robots.txt-Datei die Indizierung in Suchmaschinen verbieten. Es sind nach dem Report zu Sicherheitslücken in VICIdial nun auch vollständig automatisierte Toolkits für den Angriff auf VICIdial-Systeme im Einsatz.

1. Juni 2012:

Seit einigen Tagen erleben wir vermehrt Angriffe auf VICIdial-Systeme. Während Angriffe auf jedwede im Internet erreichbare Systeme für uns nichts Neues sind, mussten wir feststellen, dass es sich hier um zum Teil automatisierte Angriffe handelt, die gezielt gegen VICIdial-Systeme gerichtet sind.

Potentiell gefährdet sind alle Systeme, die über das Internet erreichbar sind, vor allem, wenn der http-Zugriff von außen möglich ist.

Der typische Einbruch findet über das Webinterface statt.

Die Einbrecher testen das System auf verschiedene vorhandene Sicherheitslücken. Finden sie eine, kommen sie innerhalb weniger Stunden oder Tage wieder und versuchen, das System zu übernehmen. Dies geschieht z. B. durch das Einspielen eines Backdoorprogrammes. Die Eindringlinge können Ihre Telefonleitungen unberechtigt benutzen oder auf Ihre Kundendaten zugreifen! So kann innerhalb von weniger als einer Stunde ein Schaden von tausenden Euro entstehen – vom Datenverlust, potenziellen Problemen mit Kunden und Ihrer Reputation ganz abgesehen! Es werden automatisiert SIP-Zugangsdaten vom System ausgelesen, was natürlich viel schneller geht als ein Brute Force- (Rohe Gewalt) Angriff.

Die Tools zum automatisierten Einbruch und automatischen Erkennen von VICIdial-Systemen, legen die Vermutung nahe, dass wir in Zukunft noch mehr zielgerichtete Einbruchsversuche sehen werden.

Die ersten Löcher wurden von der VICIdial Group bereits gestopft. Anscheinend klopfen die Hacker VICIdial im Moment systematisch nach Sicherheitslücken ab. Es ist zu befürchten, dass dies nicht die letzte unangnehme Nachricht war, die wir zu diesem Thema gehört haben.

Wenn Ihr System vom Internet oder über das Internet zugreifbar ist, oder Ihre Agenten-PCs zugriff zum Internet haben, empfehlen wir unbedingt die folgenden Schritte:

• Wenn möglich, direkten Zugriff über das Internet unterbinden! bzw. den Zugriff via IP auf vertrauenswürdige Partner beschränken
• SIP-Partner nur aus bekannten IP-Ranges akzeptieren. Die meisten Provider werden Ihnen diese Daten nennen können. Vor allen Dingen ist das Absichern des Port 5060 wichtig
• SIP-Provider/Carrier wenn möglich auf Ihre IP begrenzen! Dadurch verhindern Sie, dass Verbindungen mit geklauten Passwörtern von anderen Servern hergestellt werden können. Wenn möglich, die Auswahl auf Rufnummern begrenzen, die auch wirklich benötigt werden. Vor allem nicht benötigte internationale Ziele und Mehrwertrufnummern sollten blockiert werden! Auch werden sowohl nationale als auch internationale Handynummern gerne von Betrügern verwendet, die diese dann auf Mehrwertnummern umleiten. Alle Regelmäßig nicht verwendeten Nummernbereiche sollten beim Provider geschlossen werden
• robots.txt, die das Indizieren für Suchmaschinen verbietet, ins Basisverzeichnis des Webservers legen. Dies macht es schwerer für Kriminelle, Ihre VICIdial-Server zu finden
• VICIdial-Update auf aktuelle Trunk-Version ausführen, da verschiedene Probleme in dieser bereits behoben sind!
• .txt-Dateien in den Webverzeichnissen löschen und den Zugriff auf diese in der Apache-Konfiguration verhindern. Je nach Version Werden hier verwendete Passwörter im Klartext mit abgespeichert. (Normalerweise sollte dies eigentlich nicht passieren, wenn die Systemoption "Web root writeable" auf 0 gesetzt ist, leider ist das nicht in allen Fällen so, auch das Ausgeben „falscher“ Passwörter muss als Risiko angesehen werden, da diese nicht zwingender Weise „falsch“ sind.)
• Vtiger wenn nicht verwendet, entfernen oder vom Internet aus nicht zugreifbar machen – Security Updates einspielen! Außerdem hilft es zur Vermeidung der Ausnutzung neuer Schwachstellen, einen anderen Verzeichnissnamen zu verwenden, um das automatische suchen nach verwundbaren Systemen zu erschweren
• PhpMyadmin wenn nicht verwendet, entfernen oder vom Internet aus nicht zugreifbar machen – Security Updates einspielen! Außerdem hilft es zur Vermeidung der Ausnutzung neuer Schwachstellen, einen anderen Verzeichnissnamen zu verwenden, um das automatische Suchen nach verwundbaren Systemen zu erschweren
• Asterisk Manager Port 5038 auf Firewall für den Zugriff über das Internet sperren oder/und sichere Passwörter in /etc/asterisk/manager.conf und in Admininterface unter Servers (Manager User, Manager Secret, Manager Update User, Manager Listen User, Manager Send User) ändern
• Passwörter für die systeminternen Benutzer VDAD und VDCL ändern! Das Passwort heißt "donotedit", kann (und Muss) aber unbedingt geändert werden
• Fail2ban installieren mit Asterisk Patches und Config
• Danach alle System, Datenbank und SIP-Passwörte ändern!

Wenn Sie Hilfe bei der Sicherung Ihres Systemes oder der Wiederherstellung nach einem Einbruch benötigen, stehen wir Ihnen gerne zur Verfügung.

Vorsicht: Es gibt mittlerweile automatisierte Hacker-Tools die nach VICIdial-Systemen suchen und diese systematisch auf Schwachstellen untersuchen und dann auch automatisiert hacken! Diese Tools werden auch von Hackern auf infizierten PC-Systemen oder Laptops aufgespielt.

Kontaktieren Sie uns – Wir helfen Ihnen gerne weiter.

Unsere Servicepläne erlauben Ihnen die laufenden Kosten für Ihr Callcenter gering zu halten. Mit festen monatlichen Preisen und der Möglichkeit, Supportstunden anzusammeln zu können. Sie vermeiden unkalkulierbare Rechnungen und erhalten optimalen Service zu einem stark reduzierten Preis!