4 principais dicas de segurança de PBX 3CX

Tradução livre do artigo original “Don’t be ´THAT´ Guy Vol.3: Top 4 PBX Security Tips” 

Após nossa última conversa sobre fraude de chamadas, é hora de outra parte da nossa série de blogs ‘Não seja “AQUELE” cara’. Nesta terceira edição, temos nossas 4 principais dicas de segurança de PBX para ajudá-lo a reduzir sua superfície de ataque e minimizar a vulnerabilidade do sistema.


Dica de segurança 1: Mantenha a lista negra de IP global habilitada

A lista negra global do 3CX é um recurso que é ativado automaticamente em todas as instalações do 3CX por padrão. Ele bloqueia um grande número de endereços e intervalos IP ofensivos conhecidos para protegê-lo contra ataques maliciosos.

A principal preocupação aqui é com as instalações que o desativam. Por favor, certifique-se de que este não é o seu caso. Quando desativado, seus logs de eventos registrarão eventos de lista negra e tentativas de autenticação com falha de agentes de usuário SIP falsos, como Polycom VVX, Asterisk, Avaya, etc. Extensões SIP.

Esses ataques podem acontecer por trás de VPNs e hosts comprometidos, ou até mesmo de servidores e aparelhos de provedores de serviços legítimos. Quando adulterados, eles parecem estar mal configurados e se comportam como SIP abertos. Como resultado, os invasores podem devolver mensagens “REGISTER” para seus sistemas enquanto se escondem atrás de serviços de terceiros.

++ leia mais: OWASP Top 10: veja a lista atualizada das 10 vulnerabilidades


Dica de segurança 2: certifique-se de que o acesso à porta seja limitado

Em segundo lugar, ter todas as portas abertas não filtradas causa problemas. Por exemplo, a porta SIP 5060 (UDP/TCP) deve ser restrita à uma lista limitada de terminais de usuários confiáveis e intervalos de IP específicos para seu provedor VoIP.

Também vimos várias ocorrências de:

Exposição da interface do usuário da Web do telefone

Os telefones têm sua interface de usuário exposta ao acesso externo. Normalmente, isso foi habilitado por um administrador para permitir que as portas HTTP/HTTPS sejam alcançadas pela WAN para acesso remoto. Esse é um item para se atentar e NÃO fazer. Abrir as portas da interface do usuário para acesso externo apresenta vários riscos, se:

  • O firmware do fornecedor não é atualizado
  • A senha é alterada para uma fraca
  • Explorações de dia zero para determinados modelos/versões são descobertas e exploradas
  • Dispositivos expostos são encontrados usando ferramentas como Shodan.

Esses “endpoints” de usuário devem ser mantidos atrás de seu NAT e não podem ser acessados diretamente do  exterior. Se necessário, você pode configurar uma ferramenta de administração remota temporária em uma estação de trabalho e transferi-la de lá para o terminal local.

SSH não filtrado

Ter a porta SSH padrão do Linux (TCP 22) não filtrada também pode levar a fortes ataques de forma constante. Isso pode ser facilmente visto no arquivo “Syslog auth.log” da sua máquina, que continuará crescendo devido a várias tentativas de log com falha de muitos endereços IP públicos.

Mantenha os servidores 3CX separados

Ter ferramentas de terceiros no mesmo servidor onde está instalado seu sistema 3CX pode ser uma brecha de segurança. Podem ser criados servidores Web adicionais e serviços extras que identificam novas portas e, por sua vez, ficam expostos a ataques externos.

A linha inferior é que você deve filtrar o mais estritamente possível com as regras adequadas de ACL/firewall.


Dica de segurança 3: proteja seus backups com senha fortes

Os backups devem ser protegidos por senha fortes, pois existe um histórico, no passado, de casos de vazamento. Se estes dados estivessem criptografados, não teriam utilidade para um hacker. É por isso que é uma boa prática adotar a criptografia em todas as suas instalações, com senhas diferentes para cada uma.

Além disso, ter o backup armazenado de forma única para todas as instalações não é uma boa ideia. Se for comprometido, você pode acabar com vários sistemas sendo invadidos simultaneamente – e se esta unidade de armazenamento de backup comum sofrer uma falha? Como diz o ditado, você não deve colocar todos os ovos na mesma cesta.

Dica de segurança 4: bloqueie o console de gerenciamento

Por fim, você ouviu falar da seção de restrições do console de gerenciamento? Ele permite que você defina quais endereços IP públicos terão permissão para fazer login. Qualquer outra pessoa, mesmo com credenciais corretas, seria interrompida.

Cuidado com o próximo episódio e em breve… Não seja “AQUELE” cara.

+ Leia os 2 primeiros artigos da série “don´t be THAT guy”
Don’t be “THAT” Guy Vol.1: Keep Complex Credentials

Don’t be “THAT” Guy Vol.2: Call Fraud

Texto original por  Pierre Jourdan, CISO, 3CX, publicado no Blog da 3CX

++ leia mais: Gestão de Incidentes de TI: o que é e por que realizar