Арабы ломанули более 1200 VoIP серверов и продают доступы. Профит.

Всё началось ещё в далеком 2019 году, когда была обнаружена CVE-2019-19006, уязвимость позволяющая обходить аутентификацию в панели управления FreePBX и PBXact, админок к серверу VoIP Astersisk.

Конкретно, уязвимость обхода аутентификации в админке затрагивала FreePBX версий 15.0.16.26 и ниже, 14.0.13.11 и ниже и 13.0.197.13 и ниже и была исправлена Sangoma в ещё в ноябре 2019 года.

Но как всегда админы не торопились патчить свои системы.

Этим и воспользовались предприимчивые арабы из Газы, скомпрометировавших более 1200 серверов по всему миру, пишет в своём отчёте компания Checkpoint.

«Ломать SIP-сервера и получать контроль над ними дало возможность хакерам злоупотреблять сразу несколькими способами», – отметила в своем анализе фирма по кибербезопасности. «Одним из наиболее сложных и интересных способов является злоупотребление серверами для исходящих телефонных звонков, с дальнейшим извлечением прибыли. Исходящие звонки – это стандартная функция, поэтому трудно определить, когда сервер был взломан».

Арабские хакеры зарабатывали продавая телефонные номера, планы, и даже прямой доступ к скомпрометированным серверам VoIP целевых компаний тем. Продавалась и возможность прослушки. Судя по отчету, арабы таким образом неплохо забаратывали.

Для атаки злоумышленники не заморачивались и использовали SIPVicious, вполне себе стандартный инструмент для аудита SIP систем. Злоумышленники использовали модуль ‘svmapmodule’, чтобы идентифицировать уязвимые системы. Как только такие системы были обнаружены, хакеры атаковали CVE-2019-19006 и получали доступ к админкам, после чего заливали PHP шелл и разбирались со всеми учетными записями.

Во втором варианте атаки взломанная админка FreePBX и Elastix использовалась для загрузки файла PHP в кодировке base64, который затем декодировался и запускал веб-панель, позволявшую злоумышленникам совершать звонки, а также запускать произвольные команды.