Pagina 1 di 1

cisco 1841 e sipvicious

Inviato: lun 23 gen , 2017 7:38 pm
da zerokol
Buonasera, cercherò di spiegare nel miglior modo possibile il problema...nella speranza che qualcuno possa aiutarmi a comprendere. La rete è così composta:cisco 1841 adventerprisek9-mz.151-4.M10 dietro un 3560G e una una VM esxi che tra le altre guest machine ha una debian con su asterisk, che ascolta su porta non standard. Queste sono le acl che governano questo particolare servizio:

230 permit udp host <SIP PROVIDER> range 5060 5061 host X.X.X.X eq 20100 (42875 matches)
980 deny udp any any range 5060 5061 log
990 deny udp any host x.x.x.x eq 20100 log
1000 deny tcp any host x.x.x.x eq 20100 log
Queste ACL sono applicate sull'interfaccia Di1 (WAN) (adsl 7mbit pppoe).
Fino ad oggi non mi sono mai dovuto preoccupare..(molta fortuna ok ;) ) ma l'ultimo attacco mi ha lasciato letteralmente senza fiato! Ok sono stato "graziato" da password robuste ma l'attacker è riuscito ad entrare (brrrrrrrrrrrrrrr che brutto termine :) ) nelle mie difese senza nessun problema... ecco un estratto dei miei log tratti da Onion Sec :

REGISTER sip:10.100.100.7:15060 VaxSIPUserAgent/3.1 Unauthorized 1485041272.899124|CSXDkNxoQljS3k7P2|195.154.172.205|5071|10.100.100.7|15060|0|REGISTER|sip:10.100.100.7:15060|-|"4328" <sip:4328@[x.x.x.x (mio IP ):1025]:5060>|"4328" <sip:[email protected] (mio IP )[:1025]:5060>|"4328" <sip:4328@[x.x.x.x (mio IP ):1025]:5060>|"4328" <sip:4328@[x.x.x.x (mio IP ):1025]:5060>;tag=as7ba3971c|-|[email protected] (mio IP ):1025|1 REGISTER|-|SIP/2.0/UDP 195.154.172.205:5071|SIP/2.0/UDP 195.154.172.205:5071|VaxSIPUserAgent/3.1|401|Unauthorized|-|0|0|- tenete presente che ho 29000 logs di questo tipo!! Allora posso dire che :Secast (da me configurato) NON ha funzionato!! quindi 5-- al sottoscritto...poi questo tipo mi ha "trapassato" (dio che orrore...) e vorrei sapere che cosa ho sbagliato! Grazie in anticipo a chi avrà la pazienza di aiutarmi!

Re: cisco 1841 e sipvicious

Inviato: mar 24 gen , 2017 5:12 pm
da punker
Non sono un esperto di sicurezza , ma potrebbe essere un exploit!!!