Sicherheitslücke im 1723 VCM?

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Mycroft2K
Beiträge: 10
Registriert: 26 Okt 2005, 00:22
Wohnort: neben Server

Sicherheitslücke im 1723 VCM?

Beitrag von Mycroft2K »

Kann mir wer erklären wie es möglich sein kann das über einen Lancom 1723 so einfach ausgehende rufe aufgebaut werden können.

Am Lancom 1723 ist nur eine SIP-PBX zu einen anderen Lancom 1723 eingerichtet.
Zugriffs-Rechte am Lancom per WAN bei allen Protokollen ist nur über VPN Erlaubt.
VoIP ist nur per VPN und LAN Erlaubt, WAN ist gesperrt.
(Wurde im LCOS-Menübaum -->Setup-->Voice-Call-Manager-->Line-->SIP-PBX)
Erlaube-UDP-Eingehend-Von--> LAN / VPN erlaubt. eingestellt.

hab nur vom VCM ein Email das so aussieht:

Code: Alles auswählen

Calling Line:     SIP-PBX-Lancom
Calling Name:     
Calling ID:       1002
Calling Domain:   x.x.206.203

Called ID:        006287717491711
Called Domain:    x.x.206.203

Connected Line:   ISDN
Connected Name:   
Connected ID:     006287717491711
Connected Domain: isdn

Start Time:       2019-10-23 02:57:52 (UTC +2)
Connect Time:   2019-10-23 02:57:53 (UTC +2)
End Time:         2019-10-23 02:59:53 (UTC +2)

Calling Codec:   PCMA 
Connected Codec:  

Status:           normal_unspecified
Hab ein /26 Netz das über den Lancom als DMZ geroutet wird Lancom hat als IP x.x.206.195 davor ist ein Cisco 800 SDSL Router
Auch wurde teilweise mit der IP x.x.206.195 und x.x.206.197 aber hauptsächlich mit der x.x.206.203 die im Netzwerk nicht mal vergeben ist
raustelefoniert und ein hoher 4 stelliger Betrag dadurch verursacht.

Die Calling ID wechselt von 101 / 1002 / 1004

ist es so einfach fake UDP Paket zusenden das der da einfach raustelefoniert? und nicht überprüft wird?
vorallem die x.x.206.195 wäre ja da Lancom selbst.

Ich gehe daher von einer gravierenden sicherheitslücke im Lancom aus
Firmware war auf den Gerät die 9.00.0328RU7 (24.08.2018)

Kenne bis jetzt 3 Fälle wo das genau so war
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Sicherheitslücke im 1723 VCM?

Beitrag von Jirka »

Mycroft2K hat geschrieben: 24 Okt 2019, 20:08ist es so einfach fake UDP Paket zusenden das der da einfach raustelefoniert? und nicht überprüft wird?
Ja, der Port ist ja offen, weil die/eine SIP-Leitung registriert ist. Oder gibt es nur die SIP-PBX? Und wenn nur die SIP-PBX, dann geht die nicht über VPN?!
Bei den neuen LANCOMs gibt es da den Schalter "SIP-Nachrichten nur vom Registrar erlauben", den kann man aber auch nicht immer setzen.
Entscheidend ist eigentlich, dass die Call-Routing-Tabelle stimmt. Ziele wie Indonesien sollten eh gesperrt sein, wenn man da keinen Sandkastenfreund hat. Des Weiteren sollte jede Route die abgehende Telefonate ermöglicht, eine rufende Nummer angegeben haben (auch rufende Domäne, Weiterleitungen beachten), Nummernblöcke können mit # angegeben werden.
Dann passiert das alles nicht, ich habe selber von 2006 bis 2014 einen 1722 gehabt und auch Angriffe, die mir aber nur übers Monitoring gemeldet wurden (ungewöhnlich hohes Telefonaufkommen/der Calls-Zähler im LANCOM zählt auch Anrufversuche), aber nicht über die Telefonrechnung. Hatte ich hier glaube ich im Forum auch mal dokumentiert, wenn auch nicht so ausführlich, wie ich es mal vorhatte, war keine Zeit.
Mycroft2K hat geschrieben: 24 Okt 2019, 20:08Kenne bis jetzt 3 Fälle wo das genau so war
Und dann immer noch nicht reagiert? Da ging doch schon vor Jahren ein Fall durch die Presse, danach hat man bei LANCOM entschieden, dass sich SIP-Clients am LANCOM nicht mehr von WAN-Seite aus anmelden können, da gab es hier monatelange Proteste, dass man den kundigen Leuten die Funktionalität raubt, nur weil jemand nicht ordentlich konfiguriert hat. Ich fands auch doof, weil Testszenarien dadurch schwieriger wurden.

Viele Grüße,
Jirka
Mycroft2K
Beiträge: 10
Registriert: 26 Okt 2005, 00:22
Wohnort: neben Server

Re: Sicherheitslücke im 1723 VCM?

Beitrag von Mycroft2K »

Ja, der Port ist ja offen, weil die/eine SIP-Leitung registriert ist. Oder gibt es nur die SIP-PBX? Und wenn nur die SIP-PBX, dann geht die nicht über VPN?!
eben es war auf diesen Lancom nur die SIP-PBX eingerichtet keine weitere SIP-Leitungen und auch keine SIP-Benutzer das ist eben das komische
und die ging per VPN zu den anderen Router Lancom 1723 Private IP 10.10.x.x

oder setzt Lancom auf VxWorks das soll ja recht löchrig sein.

bei den anderen war zum glück auf den ISDN schon eine sperre der Telekom vorhanden da ist nix passiert.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Sicherheitslücke im 1723 VCM?

Beitrag von Jirka »

Mycroft2K hat geschrieben: 25 Okt 2019, 01:50eben es war auf diesen Lancom nur die SIP-PBX eingerichtet keine weitere SIP-Leitungen und auch keine SIP-Benutzer das ist eben das komische
und die ging per VPN zu den anderen Router Lancom 1723 Private IP 10.10.x.x
Das wäre in der Tat etwas komisch. Aber das kann man ja untersuchen.
Aber selbst wenn Du da einen Fehler feststellst, wirst Du LANCOM wohl nicht mehr dazu bewegt kriegen, dass der gefixt wird, die Geräte sind abgekündigt.
Mycroft2K hat geschrieben: 25 Okt 2019, 01:50oder setzt Lancom auf VxWorks das soll ja recht löchrig sein.
Definitiv nicht, das ist ein eigenes Betriebssystem, LCOS, LANCOM Operating System.

Viele Grüße,
Jirka
Mycroft2K
Beiträge: 10
Registriert: 26 Okt 2005, 00:22
Wohnort: neben Server

Re: Sicherheitslücke im 1723 VCM?

Beitrag von Mycroft2K »

habs jetzt noch mal nachgestellt wenn VCM Aktiv ist ist automatisch Port 5060 offen
aber wieso wurde dann das WAN Verbot nicht beachtet was aktiv war?

Firewall regel dürfte auch nicht greifen wenn ich port 5060 blockiere ist der immer noch offen
einzig ein NAT auf eine nicht vorhande IP läßt den port nicht mehr erreichbar sein.
Antworten