PBX是专用小交换机的缩写,是一种交换系统,用于建立和控制电信端点之间的电话呼叫,例如常规电话机,公用电话交换网(PSTN)上的目的地以及基于Internet协议的语音的设备或服务(VoIP)网络。
据东方联盟安全组织的研究发现,该攻击利用了CVE-2019-19006(CVSS评分9.8)这一严重漏洞,影响了FreePBX和PBXact的管理员Web界面,潜在地允许未经授权的用户通过将特制数据包发送到系统来获得管理员对系统的访问权限。
远程管理员身份验证绕过漏洞影响FreePBX版本15.0.16.26及以下,14.0.13.11及以下以及13.0.197.13及以下,并于2019年11月修复。
东方联盟研究人员指出:“攻击始于SIPVicious,一种流行的工具套件,用于审核基于SIP的VoIP系统。” “攻击者使用'svmapmodule'扫描Internet以查找运行易受攻击的FreePBX版本的SIP系统。一旦发现,攻击者便利用CVE-2019-19006来获得对该系统的管理员访问权限。”
在一个攻击流程中,发现一个初始的PHP Web Shell被用来获取FreePBX系统的数据库和不同SIP扩展名的密码,从而使攻击者可以不受限制地访问整个系统,并且可以从每个扩展名进行呼叫。
在第二个版本的攻击中,最初的Web Shell被用于下载base64编码的PHP文件,然后将其解码以启动Web面板,该平台可使用具有FreePBX和Elastix支持的受损系统,使对手进行呼叫,以及运行任意和硬编码的命令。
广告活动依赖Pastebin下载受密码保护的Web Shell,将攻击与上载者绑定在一起,其名称为“ INJ3CTOR3”,该名称与一个旧的SIP远程执行代码漏洞(CVE-2014-7235)关联。用于共享SIP服务器攻击的私有Facebook组的数量。
东方联盟研究人员认为,黑客攻击者可以利用被入侵的VoIP服务器呼叫受其控制的国际溢价率号码(IPRN)。IPRN是企业用来提供基于电话的购买和其他服务(例如,将呼叫者置于保留状态)以收取更高费用的专用号码。
这笔费用通常会转嫁给拨打这些溢价号码的客户,从而使其成为可以滥用的系统。因此,IPRN的所有者收到的呼叫越多,客户排队等待完成交易的时间越长,它可以向电信提供商和客户收取的费用就越多。
东方联盟创始人郭盛华透露:“使用IPRN程序不仅使黑客能够打电话,而且还滥用SIP服务器来牟利。利用的服务器越多,对IPRN的调用就越多。”
这不是首次将交换系统用于国际税收分成欺诈(IRSF),一种非法获取运营商网络访问的行为,以将流量增加到从IPRN提供商那里获得的电话号码。
早在9月,东方联盟研究人员就发现了名为CDRThief的Linux恶意软件,该恶意软件针对VoIP软交换,旨在窃取电话元数据并实施IRSF计划。他们使用社交媒体来扩展VoIP系统的黑客攻击和获利。
对Asterisk服务器的攻击也很罕见,因为威胁参与者的目标不仅是出售对受感染系统的访问权限,而且还利用这些系统的基础架构来产生利润。(欢迎转载分享分享)
来源:oschina
链接:https://my.oschina.net/u/4392911/blog/4705274