转译自:Pierre Jourdan (3CX 应用安全与互操作经理)

我们最近的博客文章《3CX 全球 IP 黑名单:开启“默认安全”防御模式》强调了我们对安全性的重视,以及我们如何努力打击电话欺诈和黑客攻击。在那篇文章的结尾,我们建议大家关注更多细节、统计数据和模式。

我们将通过系列博客(共 4 篇),提高大家对导致系统被盗用的各种安全威胁和不良操作的认识。我们的目标是确保你不会成为那个“为黑客敞开大门”的人。

 

弱凭据是引狼入室的开端

弱凭据是引狼入室的开端

首先要注意的是,在任何层级使用弱凭据,限简单的密码都会使你的安装环境面临风险,并可能导致:

  • 未经授权的第三方访问管理控制台或 WebClient。

  • 滥用用户分机拨打欺诈电话,费用由你承担。

  • 机密信息的数据泄露。

  • 身份冒用。

在部署全新的 3CX 系统时,我们确保生成的所有凭据都是复杂的随机字符串。这包括但不限于:

  • 用户的 SIP 凭据

  • WebClient 密码

  • 话机(Desk phone)密码

  • 网关和传真机凭据

  • 隧道(Tunnel)密码

  • 语音信箱和会议 PIN 码

 

错误 1:简化凭据

重置密码

头号错误是为了测试方便或为了迁就用户而私自篡改这些凭据。这通常会导致外部攻击者通过暴力破解获取访问权限。因此,在可能的情况下,请不要手动更改它们

如果需要,你可以随时重置它们,将其全部替换为随机生成的新凭据。你可以在“用户”页面通过选择一个或多个用户并点击“重置”按钮来完成(更多信息请查看此处)。或者,你也可以在单个用户的电话配置页面中轻松重置其电话凭据。

重置电话凭据

 

错误 2:忽视警示标志

第二个错误是忽视管理控制台“用户”页面下显示的警告标志(当检测到正在使用弱凭据时)。

当鼠标悬停在这些警告标志上时,会显示详细的信息提示,以告知管理员当前的状况,例如:

弱密码的警示标志

需要立即采取行动

高危/严重安全警报 —— 当用户同时具备“弱 SIP 凭据”且未勾选“阻止远程非隧道连接(不安全!)”选项时。

隧道安全连接告警

最后一种情况是最糟糕的,因为它会将你的 SIP 分机完全暴露在外部扫描和暴力破解攻击之下。默认情况下,所有用户在创建时都会勾选“阻止远程非隧道连接(不安全!)”选项,这确保了指向其分机的外部 SIP 流量会被丢弃。只有在配置了远程 STUN 话机时才应取消勾选,且这不会干扰 3CX 客户端的使用,因为客户端依赖于其他协议。

我们已经见过多起因上述配置错误而导致的事故。

 

这是一个危险的世界

我提到过,外面有外部攻击者正在使用扫描和暴力破解技术。不幸的是,互联网是一个危险的地方,你可能已经注意到了:只要你在云端部署任何系统,它就会立刻引起这些不法分子的注意。

在 3CX 中,有几种内置的反黑客机制,通过将攻击者的 IP 地址列入黑名单来阻止此类攻击。即便如此,有些攻击者比其他人更聪明。除了“脚本小子”,还有“大玩家”,他们不会从单一地址发起攻击,而是拥有大量的资源。

这包括使用:

  • 匿名服务:如 VPN、代理和 TOR 节点,隐藏在这些服务背后并不断更换账号/服务器。

  • 受感染的主机:变成了“僵尸”主机,成为受黑客指令控制的僵尸网络的一部分。

  • 合法的 VoIP 服务或设备:被误用来转发攻击,显示的 IP 地址是这些服务的,而非攻击者的真实地址。

  • 以上手段的组合,且每天都在更新攻击源。

我们付出了巨大努力为你提供一个开箱即用的安全环境,所以请不要关闭安全防护,不要更改凭据

如果我收到来自 EDR/杀毒软件的安全警报,该怎么办?

请向你的杀毒软件供应商报告该问题。一旦获得他们的《杀毒软件供应商报告》,请通过提交联系表单并选择“安全与数据保护(Security & Data Protection)”选项与我们分享。

如果你有 3CX 合作伙伴,请立即向他们报告任何安全报告或警报。

我们期待收到您对这一话题的评论!

参与互动

关注我们的互动频道,及时获取最新动态。