3CX-Sicherheitsgrundlagen. Teil 1 / Sudo Null IT-News

Hallo, liebe Habr-Abonnenten und 3CX-Benutzer!

Wir haben eine Reihe von Artikeln über verschiedene Sicherheitsrisiken und Fehlhandlungen vorbereitet, die zu einem Eindringen in Ihr Telefonsystem, insbesondere 3CX, führen können. Wir hoffen, dass diese Informationen insbesondere unerfahrenen Systemadministratoren dabei helfen, das Unternehmen nicht Telefonbetrügern auszusetzen. Ebenso wichtig ist der Schutz vertraulicher Daten, z. Anrufaufzeichnungen.

Im ersten Artikel werden wir über die Ziele von Betrügern und die von ihnen verwendeten Konfigurationsfehler sprechen. Und im zweiten sprechen wir über die Best Practices zur Gewährleistung der 3CX-Sicherheit.

Warum sollten sie dich brechen?

Wie sieht Telefonbetrug (Betrug) aus? Sobald sich Betrüger Zugang zu einem Konto (3CX-Nebenstelle) oder einem SIP-Gerät (Telefon, Gateway) verschafft haben, warten sie in der Regel bis zum Einbruch der Dunkelheit oder bis zum Wochenende. Wenn niemand im Büro ist, versuchen sie, verschiedene internationale Ziele anzurufen. Wenn ein offenes Ziel entdeckt wird, führen sie eine große Anzahl von Anrufen dorthin durch. Rufnummern führen sinnlose Premium-Dienste aus. Anrufe werden mit einer Art aufgezeichneter Nachricht an IVR weitergeleitet und dort so lange wie möglich gehalten. Und Hacker verdienen Geld damit! Sie erstellen diese IVRs bei Providern und erhalten eine Provision für jeden verbundenen Anruf oder pro Minute „Gespräch“. Ihr lokaler Anbieter zahlt automatisch den angegebenen Betrag an den Premium-Dienstleister. Der Anbieter zahlt wiederum eine Provision an den Eigentümer des Dienstes – den Hacker. Und am Ende des Monats stellt Ihnen Ihr Mobilfunkanbieter einen riesigen Premium-Anruf in Rechnung – wenn es zu spät ist, etwas dagegen zu unternehmen! Diese Art von Betrug wird als International Revenue Share Fraud (IRSF) bezeichnet und wird seit 30 Jahren in der Telekommunikation eingesetzt. Aber mit der Verbreitung von VoIP und Automatisierung hat Betrug ein industrielles Niveau erreicht. Seine Verluste gehen in die Milliarden. Die Communications Fraud Control Association (CFCA) nennt es die beliebteste Art des Telefonbetrugs mit einem Umsatz von 5,04 Milliarden US-Dollar im Jahr 2019 (Fraud Loss Survey). Kurz gesagt, wenn Ihr System Opfer eines Betrugs geworden ist, erwarten Sie eine riesige Rechnung – Tausende oder sogar Zehntausende.

Angreifer-Technologien

„Anfänger“-Hacker nutzen die einfache Technologie von Brute-Force-Angriffen (Credential Brute Force). Jede in der Cloud installierte Telefonanlage ist ein potenzielles Ziel für einen solchen Angriff. 3CX verwendet jedoch einen eigenen Sicherheitsmechanismus, der eine verdächtige IP-Adresse sofort blockiert. Aber jetzt ist für die “Fortgeschrittenen” ein ganzes Arsenal an Technologien aufgetaucht, um die Quelle eines Angriffs zu verbergen:

  • Anonymisierungsdienste – VPN, verschiedene Proxys und TOR – ermöglichen es Ihnen, die Anmeldeinformationen und Server von Eindringlingen zu verbergen.

  • Kompromittiert Computers – sich in einem verteilten, kontrollierten Botnet in “Zombies” verwandeln.

  • Legitime VoIP-Anbieter und -Geräte, die gekapert wurden – und jetzt verwendet werden, um Ihr System in ihrem Namen anzugreifen (häufig von autorisierten IP-Adressen).

  • Eine Kombination aus all dem und etwas Neuem, das jeden Tag auftaucht.

Die gute Nachricht ist, dass wir jetzt versuchen, sofort nach der Installation von 3CX maximale Sicherheit zu bieten! Werfen wir einen Blick auf die verschiedenen Fehler und Fehlentscheidungen, die Sie teuer zu stehen kommen können.

Zu einfache Passwörter

Schwache Anmeldeinformationen auf jeder Ebene gefährden Ihr System:

  • Zugriff von Angreifern auf die 3CX-Verwaltungsoberfläche oder Benutzeroberfläche – Webclient.

  • Erfassen der Nummer des Benutzers für nicht autorisierte Anrufe auf Kosten des Unternehmens.

  • Durchsickern verschiedener vertraulicher Informationen, wie z. B. Gesprächsaufzeichnungen.

  • Aktionen des Angreifers im Namen eines legitimen Benutzers.

Nach einer Neuinstallation des 3CX-Systems stellen wir sicher, dass alle erstellten Zugangsdaten ausreichend stark sind:

  • Die SIP-Anmeldeinformationen des Benutzers.

  • Passwörter für die Anmeldung am Webclient.

  • Passwörter für die Schnittstelle von IP-Telefonen.

  • Zugangsdaten für Gateways und Faxgeräte.

  • Passwort für den 3CX-Tunnel.

  • Voicemail- und Konferenz-PINs.

Ändern Sie diese Passwörter nicht zu Testzwecken oder zur Arbeitserleichterung! Wenn Sie ein einfaches Passwort festlegen, wird das System anfällig für Brute-Force-Angriffe. Daher empfehlen wir, diese Passwörter nicht zu ändern, es sei denn, dies ist unbedingt erforderlich. Wenn Sie Ihr Passwort dennoch ändern müssen, können Sie es neu generieren – ein komplexes Passwort wird durch ein ebenso komplexes ersetzt. Gehen Sie zum Neugenerieren zum Abschnitt „Benutzer“, wählen Sie einen oder mehrere Benutzer aus und klicken Sie auf „Neu generieren“.

Warnungen ignorieren

Manchmal erscheinen wichtige Warnungen in der 3CX-Verwaltungsoberfläche, die auf Probleme mit Anmeldeinformationen hinweisen. Sie erhalten detaillierte Informationen zum Problem und einen Hinweis für den Administrator, z. B.:

  • Schwaches Passwort zur Anmeldung beim Webclient.

  • Schwacher SIP-Authentifizierungs-Login.

  • Schwaches SIP-Authentifizierungspasswort.

  • Schwaches Passwort auf der Weboberfläche des Telefons.

In einigen Fällen ist sofortiges Handeln erforderlich. Wenn der Benutzer beispielsweise nicht nur ein schwaches SIP-Login und -Passwort hat, sondern auch die Option „Verbindung aus dem öffentlichen Netz ablehnen“ deaktiviert hat:

Dies ist der gefährlichste Fall, da er das SIP-Konto für externes Scannen und Brute-Force-Angriffe öffnet. Standardmäßig werden alle Benutzer mit aktivierter Option „Verbindung aus öffentlichem Netzwerk deaktivieren“ erstellt, wodurch der gesamte externe Datenverkehr zur Erweiterung blockiert wird. Es sollte nur deaktiviert werden, wenn Sie ein entferntes SIP-Telefon “direkt” mit STUN-Technologie verbinden. Aber wenn Sie 3CX-Marken-Clients verwenden, müssen Sie es nicht deaktivieren, weil. Es verwendet ein eigenes sicheres Protokoll.

Schlechte ausgehende Regeln

Achten Sie auf die zu „demokratisch“ ausgehenden Regeln von 3CX. Es ist am besten, separate Regeln für internationale und lokale Nummern zu haben, wobei internationale Ziele so begrenzt wie möglich sein sollten. Eine internationale Rufnummer beginnt nach dem ITU-Standard mit der Vorwahl + oder 00. Daher sollten Sie eine ausgehende Regel mit Ihrer internationalen Vorwahl „00,+“ erstellen und genau überlegen, welche Benutzer/Gruppen diese verwenden sollen. Sie müssen explizit in der Regel durch einen Bindestrich oder ein Komma getrennt aufgeführt werden. Und lokale Nummern beginnen in den meisten Ländern mit dem Präfix 0 oder haben eine feste Länge. Diese Optionen können auch in ausgehenden Regeln verwendet werden.

Öffnen Sie internationale Ziele

Achten wir nun auf die Liste der erlaubten internationalen Ziele im Abschnitt „Sicherheit > Internationale Ziele“. Lassen Sie niemals alle Richtungen gleichzeitig zu! Besser ist es dagegen, alles auszuschalten und nach und nach nur das Nötigste einzuschalten. Standardmäßig ist nur das Land für Anrufe zugelassen, das bei der Installation des 3CX-Servers angegeben wurde. Auf diese Weise können Sie die Sicherheit des Systems direkt nach dem Auspacken maximieren. Beim Anruf auf eine internationale Nummer prüft das System sowohl das Vorhandensein der entsprechenden Ausgangsregel als auch die Liste der erlaubten Ziele und lässt den Anruf erst dann durch. Seien Sie jedoch vorsichtig bei internationalen Nummern, die in einem nicht standardmäßigen Format gewählt werden. Einige Betreiber überspringen solche Nummern ohne internationale Vorwahl. Beispielsweise erreicht die Nummer 33123456789 bei einigen Anbietern problemlos Frankreich. Wenn Ihr Betreiber solche Nummern zulässt, berücksichtigen Sie dies in den ausgehenden Regeln.

Interessante Statistiken

Am Ende des ersten Teils der Überprüfung teilen wir die neuesten Einbruchsstatistiken, damit Sie den Ernst der Situation verstehen. Unsere Sicherheitsabteilung hat 225 erfolgreiche Angriffe untersucht 3CX in den letzten 4 Jahren. Auf der einen Seite scheint es viel zu sein, aber betrachten wir die Gesamtzahl der installierten Systeme. Derzeit sind weltweit etwa 600.000 Systeme in Betrieb. 255 (Hacks) /600.000 (Installationen) *100 = 0,04 % der Systeme werden gehackt. Mit anderen Worten, nur 1 System von 2400 war betroffen, dh 99,96 % unserer Systeme konnten nicht gehackt werden – und das ist überhaupt nicht schlimm!

Erfolgreiche Hacks in verschiedenen Ländern

  1. USA (21%)

  2. Großbritannien (15%)

  3. Frankreich (13%)

  4. Deutschland (8%)

  5. Belgien (5%)

Gesamtzahl der im Laufe des Jahres aufgezeichneten Hacks

Wie Sie sehen können, sind Telefonie-Hacks leider ein wachsender Trend. Davon waren es 2021 besonders viele. Vielleicht liegt das an der Verbreitung von Remote Work.

Wo Sie Hilfe bekommen

Wenn Sie Opfer von Telefonbetrug oder PBX-Hacking geworden sind oder sich Sorgen um Sicherheitsprobleme machen, öffnen Sie ein Ticket in unserem Helpdesk-System im Abschnitt „Betrug“. Wenn Sie eine Verletzung vertraulicher Daten vermuten, kontaktieren Sie uns bitte unter dpo@3cx.com.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *