黑客锁定FreePBX漏洞下手

广受企业采用的网络电话(VoIP),黑客也滥用取得不法利益。例如,本月网络防火墙厂商Check Point,披露一起发生在今年上半锁定全球网络电话系统的INJ3CTOR3攻击行动,黑客借由系统软件漏洞,取得对话启动协议(Session initiation Protocol,SIP)服务器的控制权,进而使用盗打高额国际费率电话来获利,由于拨打电话是此种系统的合理用途,企业难以发现自己的系统被滥用。

该公司指出,黑客锁定的目标,是Sangoma推出的旧版FreePBX软件,所出现的重大漏洞CVE-2019-19006,它能够让攻击者直接使用管理者权限来访问系统,CVSS风险评估3.1版的分数达到9.8分。上述漏洞存在于FreePBX 15.0.16.26、14.0.13.11,以及13.0.197.13等版本,Sangoma已于2019年11月修补。

Check Point指出,这样的漏洞影响范围很广,因为许多财富500大企业都会采用网络电话交换机系统Asterisk,而FreePBX是与之可搭配运用的管理平台,一旦企业没有修补上述FreePBX漏洞,就有机会成为黑客下手的目标,而形成供应链攻击。

由于Asterisk开放源码的特性,市面上也衍生出Elastix、Trixbox等版本,如果其中纳入的FreePBX存在上述漏洞,可能会面临同样的安全风险。

黑客滥用上述漏洞的目的是什么?Check Point指出,攻击者主要用来挟持SIP服务器,有了控制权后就能使用企业的网络电话盗打,黑客不只自己拨打,也将此种拨打电话的渠道拿来销售来牟取利润。但实际上,既然黑客能够控制SIP服务器,同时也代表他们能够监听企业员工拨打的电话内容来窃密。

Check Point指出现今黑客针对网络电话系统发动攻击的可能流程,图中的上半前3个步骤是在找寻攻击目标,接着黑客会尝试利用系统漏洞或是暴利破解等方式,取得对话启动协议(SIP)服务器的控制权,且使用Web Shell来挟持与下达指令,进而将受害的网络电话系统拿来拨打国际电话,牟取不法利益。

从此次攻击行动的手法来看,Check Point指出黑客在滥用FreePBX漏洞且执行初始Web Shell之后,盗打电话与控制受害服务器的工作,就会分别交由2个PHP文件来运行,而此时黑客执行的脚本,是有使用密码保护的PHP文件,来隐藏攻击行为。

Check Point指出攻击者是INJ3CTOR3的依据,是因为他们借着受害系统里的攻击脚本,归纳出关键字进行调查,发现一个ID为INJ3CTOR3的人士于Pastebin发布了类似的脚本,Check Point也看到这个ID与滥用SIP服务器RCE漏洞CVE-2014-7235的攻击行动有关。而在这次的攻击行动中,Check Point也从脚本里看到另一个inje3t0r3-seraj的ID,他们认为可能是INJ3CTOR3的别名。

借由上述的INJ3CTOR3与inje3t0r3-seraj进一步调查,Check Point找出与这些ID与多个私人脸书社群有关,在这些群组里,成员会分享相关的攻击工具,或者是销售访问受害SIP服务器的渠道等,而其中最活跃的群组名为voip__sip__inje3t0r3_seraj。根据这些脸书社群,Check Point认为他们发现的INJ3CTOR3行动,只是这种锁定网络电话的攻击冰山一角。参与攻击行动的黑客,大多来自加沙、约旦河西岸,以及埃及。

Check Point认为,此起攻击行动不寻常的原因,是黑客的目的不只是出售受害系统的访问权利,同时打算利用网络电话的基础架构来产生收益。再者,他们提及这项行动的目标,是全球Asterisk系统的SIP服务器,但台湾企业受到影响的程度又是如何?有待进一步观察。

发表评论