Voip gehackt (FritzBox > Grandstream IP phone)

[philippe_d]

Geen idee of ik in de titel moet schrijven:

• - FritzBox gehackt of
  - Grandstream IP phone gehackt

Enkele dagen geleden, kreeg ik onderweg een mailtje van Voipcheap.com, dat mijn belkrediet op was. Normaal staat hier "automatic recharge" aan, maar dat was (gelukkig) mislukt, gezien mijn mastercard toevallig geblokkeerd was (wegens diefstal portefeuille vorige week in Mallorca )

Het mailtje verbaasde mij, want hoe kon mijn krediet op zijn, er was niemand thuis die kon telefoneren.

Toen ik thuis kwam zag (en hoorde ik) mijn Grandstream (IP phone) telefoneren naar een 0053 nummer (Cuba). De Grandstream stond op speaker, ik kon horen dat het gesprek mislukte (wegens belkrediet op), waarna hetzelfde nummer telkens opnieuw gevormd werd.
Knopjes drukken op de Grandstream had geen effect, dus onmiddelijk de stekker eruit getrokken.

Bij nazicht op de FritzBox logs, zag ik een aantal gesprekken naar 0053, en bij nazicht op de logs van FreeVoipDeal.com zag ik inderdaad een aantal dure gesprekken ...

Nu vraag ik mij af wat er gebeurd is ...
- Blijkbaar is het niet de FritzBox die gehackt werd, maar mijn Grandstream (GXP1450).
- In de FritzBox stond er een poort open (willekeurig nummer) naar de webinterface (http) van de Grandstream (om deze van buitenaf te bereiken).
- Kan een hacker (die toevallig toegang heeft tot de web interface van de IP phone) vanop afstand een gesprek initiëren? Op het eerste gezicht lijkt er niets te zijn gewijzigd in de instellingen. Of komt hij via een SIP poort binnen?
- De IP phone staat ook niet geregistreerd op een externe VoIP provider, maar wordt gebruikt als binnentoestel op de FritzBox (registrar is dus de SIP server van de FritzBox).

Blijkbaar is het een echte pest geworden: het massaal scannen op zoek naar VoIP servers ??

Lessons learnt

• een portforwarding op mijn router naar de Grandstream is wellicht een (onnodige) security risk > verwijderd.
• het default paswoord van de web interface van de Grandstream (my bad ) > gewijzigd.
• automatic recharge (telkens 10€ als het belkrediet onder 1€ komt), is wel gemakkelijk, maar houdt ook een risico in (blanco cheque). Zonder de automatic recharge kan de hacker maximaal voor 10€ bellen.
• last but not least: blokkeren van exotische bestemmingen. Ik kan buitenlandse gesprekken niet zomaar blokkeren, gezien er hier toch wel wat naar buitenland getelefonnerd wordt, maar dit zijn meestal Europese bestemmingen of US (001, 003x, 004x). Ik heb nu de "exotische bestemmingen" geblokkeerd (002, 005, 006, 007, 008, ...).

Zijn er nog zaken die ik kan doen om de veiligheid te verhogen?

• - IPv6 uitzetten op de Grandstream?
  - IPv4 manueel inbrengen, zonder gateway en dns ?

[Goztow]

Kan je me zeggen welke dial rules je hebt gezet om die exotische bestemmingen te blokkeren? Dus alle préfixes posten?

Als dit jou kan overkomen, dan kan het ons allen overkomen!

[philippe_d]

Je kan met whitelist werken (bepaalde bestemmingen toestaan), of met blacklists (bepaalde bestemmingen blokkeren)

Whitelist
alle buitenlandse blokkeren, met uizondering van:

• - 001 (Nanpa: US, Canada, Centraal Amerika...)
  - 003 en 004 (Europa)

Blacklist:

• - 002 (Afrika)
  - 005 (Zuid-Amerika)
  - 006 (Verre Oosten, vb Thailand etc)
  - 007 (Rusland)
  - 008 (Verre Oosten, vb Japan, China ...)
  - 009 (Midden Oosten)

Dan kan je nog enkele uitzonderingen whitelisten, vb:
Mijn dochter heeft een vriendin in Argentinië.
Zuid-Amerika (005) is dus blacklisted, met uitzondering vaan 005411 (Buenos Aires) ...

Wat betreft betaalnummers:
090 blaclisten, zo vermijd je dure gesprekken naar (Belgsiche) betaalnummers.
Voor sommige van die nummers betaal je 2€ per minuut (0907), tot zelfs 31€ per gesprek (0909) .

[Goztow]

Dank je, heb ik net gedaan. Ik heb momenteel enkel 003 en 004 niet geblokkeerd.

[Edward Valckx]

De webinterface naar buiten open zetten met het standaard wachtwoord was natuurlijk geen goede zet. Dan is alles mogelijk.

Trouwens, veel van die Linux IP toestellen (ip camera's, ip phones, zonnepaneel omvormers, alarmen, veel routers zelfs, ...) worden zelden geupdate met security updates. Maar in dit geval was er zelfs geen achterdeur nodig.

Aangezien je Fritz!Box toch al werkt als VPN server (dacht ik toch), kan je beter enkel via deze weg op je lokaal netwerk gaan van buitenaf.

[honda4life]

De vraag is hoe vinden ze merk x en toestel y?
IP Scanner, dan poortscan en met veel geluk...

[seagull]

Ik heb hier een Asterisk centrale draaien met Fail2ban en zie toch tussen de 2 en de 5 bans per dag.

[xming]

2 à 5 per dag? Dat valt best wel mee, ik heb bijna 75K drops op 14 dagen voor mijn FS server.

[johcla]

De vraag is hoe vinden ze merk x en toestel y?
IP Scanner, dan poortscan en met veel geluk...

shodan.io zoekt dit gewoon op voor jou, een beetje de Google voor Internet of Things.

[philippe_d]

De webinterface naar buiten open zetten met het standaard wachtwoord was natuurlijk geen goede zet. Dan is alles mogelijk.

Inderdaad, maar kan iemand die op de Grandstream IP Phone web interface geraakt, zo maar de telefoon activeren?

Aangezien je Fritz!Box toch al werkt als VPN server (dacht ik toch), kan je beter enkel via deze weg op je lokaal netwerk gaan van buitenaf.

Hier heb je 100% gelijk in. Gezien de VPN toegang, moet er eigenlijk geen enkele poort openstaan naar specifieke toestellen.

[Ofloo]

Meestal hebben VoIP providers een statisch IP ik stel voor dat je enkel van dat IP verkeer toelaat naar je telefoon.

[VOiD]

De webinterface naar buiten open zetten met het standaard wachtwoord was natuurlijk geen goede zet. Dan is alles mogelijk.

Inderdaad, maar kan iemand die op de Grandstream IP Phone web interface geraakt, zo maar de telefoon activeren?

Ja, door je portforwarding zet je niet enkel de webinterface voor management open maar ook toegang tot de API. Door een simpele HTTP request kunnen ze dus een call opzetten (en vervolgens doorschakelen). Je hebt het wel héél erg makkelijk gemaakt door het default paswoord te gebruiken.

[philippe_d]

Ik beken schuld, en heb mijn les geleerd (heeft me max €10 gekost) .

Nu vraag ik mij af wat het business model is van de hackers...

Af en toe hoor je van hackers die calls opzetten naar "dure buitenlandse betaalnummers"
Op 15/1 schreef Proximus op zijn Facebook pagina:

We stellen een toename vast van frauduleuze oproepen vanuit het buitenland naar Belgische gsm-nummers. Oplichters bellen vanuit het buitenland en laten net kort genoeg bellen zodat je niet de tijd hebt om op te nemen. Bel je terug, dan bel je naar een duur betaalnummer. De oproepen komen onder meer uit Macedonië (+389) , Rusland (+7), Tunesië (+216) en Zimbabwe (+263). We volgen de situatie op de voet en blokkeren verdachte nummers.

Dat is pertinent onmogelijk. Betaalnummers (zoals de Belgische 0909) kunnen niet vanuit het buitenland gebeld worden.
Providers zoals de Dellmont clones beiden ook geen gesprekken aan naar betaalnummers: voor ieder land hebben ze maar 2 tarieven: vast en mobiel.
Dus "dure betaalnummers in het buitenland", dat bestaat gewoon niet.
Wat er wel gebeurt is dat er gebeld wordt naar dure exotische bestemmingen, vb Cuba (maar dat zijn normale geografische nummers in dat land).

Vraag is - hoe verdienen ze dan wel geld aan die calls?
Of spelen ze onder één hoedje met lokale telefonie providers, om de terminatiekosten te incasseren ?

Of worden die calls gewoon doorverkocht?
Bijvoorbeeld via een netwerk van duistere telefoonshops, die goedkope gesprekken aanbieden (via gehackte telefooncentrales) ?

[Sinna]

Ik vrees dat al die belshops niet altijd even zuiver op de graat zijn... Ik wil zeker niet veralgemenen, maar het gaat er soms erg groezelig aan toe.

Wat je gehackte Grandstream betreft: echt hacken was dit eigenlijk niet hé als het toestel nog met default credentials ingesteld stond...
Ik zou voor de zekerheid een reset to factory defaults doorvoeren en/of zelfs een firmware-update (of -rewrite) doen zodat je zeker bent dat jouw toestel nog steeds jouw toestel is en niet via een achterpoortje toch weer overgenomen kan worden...

Jouw voorval geeft voor mij echter aan dat services op een andere poort dan de default draaien, blijkbaar niet meer volstaat om de service toch iet-of-wat verborgen te houden.

[Yarisken]

Guys, het is eigenlijk heel simpel. De meeste hackers gebruiken gewoon de beste hacktool die er is en dat is google.

https://www.exploit-db.com/google-hacking-database/

Daarstraks nog aan het zoeken geweest naar plex server. Op 2 minuten had ik er 5 gevonden die gewoon open stonden zonder wachtwoord. Kon ik lekker meekijken.
Als je dan nog "standaard" wachtwoorden gebruikt ... tja dan is het wel heel makkelijk.

[kamiel]

Misschien een beetje off topic. Ik vraag mij af ik je safe zit als je geen poorten hebt openstaan voor toegang van buitenaf? Of zijn er dan ook nog mogelijkheden dat je gehackt wordt?

[cyberbozzo]

@ Philippe: ondersteund die Grandstream CTI mode? Zoja: welke poort wordt er gebruikt voor CTI, de poort van de webinterface?
Zoja: dan heeft men de telefoon vanop afstand bediend via CTI.

Meeste telefoons laten dit niet zomaar toe en er moet op 'OK' gedrukt worden alvorens CTI mode toegelaten is, en je kan eventueel de CTI controle beperken tot een bepaald subnet.

Edit: kon het niet laten om zelf even te beginnen zoeken: http://www.grandstream.com/sites/defaul ... _Guide.pdf

Zou het zoiets kunnen geweest zijn? CTI controle bij Grandstream loopt wel degelijk via de poort van de webinterface. Dit is volgens mij ook de reden waarom je het telefoongesprek hoorde over de luidspreker op dat moment.

[vasonline]

2 jaar geleden is er zo een groot veiligheidslek in de Fritzbox gedicht door AVM

http://www.wilderssecurity.com/threads/ ... ed.359742/

[philippe_d]

Edit: kon het niet laten om zelf even te beginnen zoeken: http://www.grandstream.com/sites/defaul ... _Guide.pdf

CTI controle bij Grandstream loopt wel degelijk via de poort van de webinterface. Dit is volgens mij ook de reden waarom je het telefoongesprek hoorde over de luidspreker op dat moment.

Bedankt voor de link.
Inderdaad, een fluitje van een cent .

• je stuurt: http://192.168.178.xx/cgi-bin/api-send_ ... ys=1:0:0:0
  gevolgd door: http://192.168.178.xx/cgi-bin/api-send_ ... &keys=SEND

En de telefoon belt naar het nummer 1000 (met speakerphone aan).
Scary

Een publiek IPv4 adres dat nooit meer verandert (geen reconnects), is in dit geval ook geen voordeel?

[Edward Valckx]

OK, dan belt uw telefoon naar een bepaald nummer. Maar daarom kunnen die "hackers" dat gesprek toch nog niet voeren? Dan moet je toch bij jou thuis langs de telefoon zitten?

[Edward Valckx]

Misschien een beetje off topic. Ik vraag mij af ik je safe zit als je geen poorten hebt openstaan voor toegang van buitenaf? Of zijn er dan ook nog mogelijkheden dat je gehackt wordt?

In principe ben je dan veilig. Tenzij uw router (die nog steeds volledig aan het Internet hangt) een achterdeur heeft, dat weet je eigenlijk nooit zeker. Daarom is een router van een goed merk met regelmatige updates zeker aan te raden.

[VOiD]

Tenzij ze dat gesprek op die manier dan ook kunnen doorschakelen...

[philippe_d]

OK, dan belt uw telefoon naar een bepaald nummer. Maar daarom kunnen die "hackers" dat gesprek toch nog niet voeren? Dan moet je toch bij jou thuis langs de telefoon zitten?

Ja inderdaad
Maar ze kunnen de lijn open laten terwijl de minuten aantikken?
Of met dezelfde hack (key = XFER) kunnen ze het gesprek transfereren naar een ander nummer.

[Yarisken]

Misschien een beetje off topic. Ik vraag mij af ik je safe zit als je geen poorten hebt openstaan voor toegang van buitenaf? Of zijn er dan ook nog mogelijkheden dat je gehackt wordt?

De meeste hackers komen niet binnen via de router / firewall hé. Routers zijn ook kwetsbaar dus een zero day is altijd mogelijk.
Een tijd geleden zijn er een pak teamviewer accounts gehacked. Met lijsten van wachtwoorden van andere sites probeerden ze in te loggen op teamviewer. Aangezien veel mensen dezelfde wachtwoorden gebruiken kwamen ze zo bij veel mensen binnen. Ik had ook een teamviewer sessie constant openstaan op mijn downloadserver thuis.

Java, flash niet up to date en je hebt een trojan binnen zonder dat je het weet en ze hebben toegang tot je computer wanneer ze willen.

[cyberbozzo]

OK, dan belt uw telefoon naar een bepaald nummer. Maar daarom kunnen die "hackers" dat gesprek toch nog niet voeren? Dan moet je toch bij jou thuis langs de telefoon zitten?

Toch wel. Uw telefoon begint dan te bellen met de speakerphone aan. Het gesprek komt tot stand. Om op te hangen kan je weer een ander commando sturen, of gewoon de tel rebooten via de webinterface en weer opnieuw beginnen...

[cyberbozzo]

Wat ik me steeds afvraag in zo'n situaties:

- Waarom een poort van extern naar uw telefoon openen? Wat heeft dit voor nut? Moet jij absoluut aan de webinterface geraken van buitenaf? Een poort openzetten doe je niet zomaar...
- Steeds default wachtwoorden wijzigen + ik vertrouw geen apparaten die geen brute force protectie hebben (IP adres geblokkeerd na x aantal pogingen....)
- Poort 5060: enkel te openen naar/van IP's van uw SIP provider.
- Extensies van buitenaf laten provisionen op uw PBX: enkel toegelaten voor bepaalde extensies + sterk passwoord + brute force protectie.
- Beperking voor het bellen naar bepaalde landen.
- Bij mij staat enkel VPN open. Je geraakt hier enkel binnen via PPTP account + een sterk wachtwoord.
- Fritzbox blijft consumentenapparatuur met alle gevolgen van dien (hoewel het hier niet de schuld is van FritzBox).
- Bij Yealinks moet je hardwarematig op OK drukken ('do you want to allow remote control?') voordat hij CTI toestaat vanaf een 'vreemd' IP.

VoIP hacking is zéér lucratief en je kan maar beter alle voorzorgsmaatregelen nemen die nodig zijn.

[Joe de Mannen]

Ik had net iets vreemd, bellen doen we via OVH en FreeVoipDeal, ik krijg telefoon van mijn vrouw en het nummer wordt weergegeven als +7 32 ....
Dat is de eerste keer dat ik dat meemaak.
J.

[krisken]

Lessons learnt

• een portforwarding op mijn router naar de Grandstream is wellicht een (onnodige) security risk > verwijderd.

Ik zou een VPN tunnel configureren naar jouw huis. Dan kan je op deze manier je GS nog steeds bereiken zonder port forwarding?

[philippe_d]

Jaja inderdaad, lesje geleerd.

Bedoeling van de topic (buiten mezelf belachelijk maken ) is vooral andere users op de gevaren wijzen

• - geen poorten openzetten is vanzelfsprekend
  - standard admin paswoord wijzigen
  - beperkingen instellen, enz (zie lijstje van cyberbozzo).
  - 2de handse toestellen volledig resetten (toen ik mijn 2 Grandstreams 2de hands kocht, waren de SIP settings netjes verwijderd, maar bij het booten werd wel nog een verbinding gemaakt met een server op fusa.be (configuratie van de telefoon?).

[krisken]

Waarom zou je jezelf belachelijk maken? Iedereen maakt fouten ...

[honda4life]

Jaja inderdaad, lesje geleerd.

Bedoeling van de topic (buiten mezelf belachelijk maken ) is vooral andere users op de gevaren wijzen

• - geen poorten openzetten is vanzelfsprekend
  - standard admin paswoord wijzigen
  - beperkingen instellen, enz (zie lijstje van cyberbozzo).
  - 2de handse toestellen volledig resetten (toen ik mijn 2 Grandstreams 2de hands kocht, waren de SIP settings netjes verwijderd, maar bij het booten werd wel nog een verbinding gemaakt met een server op fusa.be (configuratie van de telefoon?).

Ik denk eerder dat het een wijze les is en een goede raad voor iedereen

[Edward Valckx]

Ik zou een VPN tunnel configureren naar jouw huis. Dan kan je op deze manier je GS nog steeds bereiken zonder port forwarding?

Je hebt de vorige berichten niet gelezen?

[krisken]

Ik zou een VPN tunnel configureren naar jouw huis. Dan kan je op deze manier je GS nog steeds bereiken zonder port forwarding?

Je hebt de vorige berichten niet gelezen?

Had ik inderdaad niet gedaan

[PeterP]

Naast alles wat hierboven reeds besproken is.
Voor zover ik het begrijp, is het zo dat je Fritzbox standaard zo ingesteld is dat je er de hele wereld kan mee opbellen ?
Zou het niet nuttig zijn om je dialing rules zo te organiseren dat de default is dat je nergens naartoe kan bellen, behalve de routes die je zelf aanmaakt.

Bij mij op een Grandstream UCM6102 is het zo ingesteld dat enkel Belgische en Nederlandse, vaste en mobiele nummers + hulpdiensten + 0800 kunnen gebeld worden. 070 en 090 nummers zijn ook nog eens expliciet geblokkeerd. Alle andere nummers krijgen een bandje met "Uw oproep kan niet worden voltooid zoals gekozen, gelieve het nummer ......"

De UCM6102 heeft bij mij een tijdje direct achter de ingebouwde firewall van de BBOX3 gestaan. Blijkbaar deed de BBOX3 uit zijn eigen aan portforwarding via de ALG methode ? Het gebeurde toen ook af en toe dat ik een mailtje kreeg van failtoban op mijn UCM6102 dat er iemand had proberen in mijn centrale te geraken. Ondermeer ook van IP-adressen rond Moskou en uit Palestina. De poorten die de BBOX open zette waren toen ook zéér willekeurig. Waarmee ik wil zeggen, vertrouw dus niet alleen op je firewall voor je beveiliging. Probeer ook alles wat erachter staat zo veilig mogelijk doch nog een beetje gebruiksvriendelijk te configureren.

[philippe_d]

Voor zover ik het begrijp, is het zo dat je Fritzbox standaard zo ingesteld is dat je er de hele wereld kan mee opbellen ?
Zou het niet nuttig zijn om je dialing rules zo te organiseren dat de default is dat je nergens naartoe kan bellen, behalve de routes die je zelf aanmaakt.

Dialing rules zijn hiervoor niet gemaakt en ook niet voor geschikt.
Voor het blokkeren van bepaalde bestemmingen, is er de optie "Call Blocks"
Telephone > Call Handling > Call Blocks > new Call Block.

Wat jij voorstelt is een dialing rule instellen via een fake route? Dan gaat de fritzBox automatisch een back-up route nemen (tenzij je dit ook afzet).

De poorten die de BBOX open zette waren toen ook zéér willekeurig. Waarmee ik wil zeggen, vertrouw dus niet alleen op je firewall voor je beveiliging. Probeer ook alles wat erachter staat zo veilig mogelijk doch nog een beetje gebruiksvriendelijk te configureren.

Dat is toch het normale gedrag van een NAT (UPnP)?
Jouw Grandstream achter een B-box (of een fritzBox) zal poort 5060 gebruiken om te registeren, maar dat zal door jouw router vertaald worden naar een willekeurige andere poort Als een oproep binnenkomt op deze poort, zal de router dat doorsturen naar jouw Grandstream en terug omzetten naar poort 5060.

Jouw ATA zal zelfs keep-alive packets uitsuren speciaal om deze poort open te houden. Hoe zou je anders binnenkomende gesprekken kunnen ontvangen?