Scheinbar gibt es seit Samstag, den 10.02.2024 verstärkt erfolglose Zugriffsversuche auf den Webclient von 3CX-Telefonanlagen.
Seit 23:21 Uhr verzeichnen wir verstärkt Anmeldeversuche mit ungültigen Benutzernamen und Kennwort (vermutlich via Brute-Force), offenbar sind nur Kunden der Deutschen Telekom betroffen da wir dies bei anderen Providern bislang nicht sehen (<- siehe Kommentare und Updates) . Der bisherige Höhepunkt ist der Vormittag des Sonntag, vom 11.02.2024.
Soweit möglich sollte man mindestens den Zugriff auf den Webclient vom Internet aus komplett unterbinden oder, falls dies nicht möglich ist und sofern möglich, mittels GeoIP auf gewünschte/benötigte Zugriffe beschränken bzw. nur per VPN zur Verfügung stellen. Wer bereits 3CX in Version 20 (derzeit Release Candidate 3) einsetzt kann zudem die 2FA aktivieren. Die Bordmittel von 3CX unter “Sicherheit – Angriffsschutz” sollten ebenfalls genutzt und optimiert (siehe Update vom 12.02.2024 – 14:58) werden.
Bislang bekannte IP-Adresse:
- 45.59.118.106
- 45.147.229.215
- 167.88.164.202
- 45.59.120.50
- 172.86.97.7
- 172.86.124.18
- 144.172.76.27
- 45.147.231.173
- 167.88.167.9
- 45.61.133.11
- 147.236.229.113
Update 11.02.2024 – 21:24
Zwischenzeitlich war es ruhiger, aber mittlerweile geht es wieder los. Offenbar ist es nicht auf die Deutsche Telekom beschränkt wie man den Kommentaren (s.u.) entnehmen kann. Ferner wurde eine weitere IP-Adresse ergänzt.
Update 12.02.2024 – 09:20
Weitere IP-Adressen ergänzt (Vielen Dank an Jan [Siehe Kommentare] für die Info).
Update 12.02.2024 – 14:58
Jan (siehe Kommentare und vielen Dank für’s teilen) hat eine Verschärfung der Einstellungen des Angriffsschutzes vorgenommen bzw. vorgeschlagen:
"Failed Authentication Protection von 5 auf 3 geändert, Blacklist time interval von 86400 auf 604800 geändert, das wären dann 7 Tage, Maximum allowed requests per IP Address – Offending IPs will be blacklisted von 20 auf 10 geändert, Request Rate Duration – Configure the duration in seconds in which the above requests are counted von 2 auf 3 geändert."
Darüber hinaus und falls noch nicht geschehen empfehle ich jedem 3CX-Betreuer die E-Mail-Benachrichtigung unter
Einstellungen - E-Mail-Adresse
zu konfigurieren, damit man überhaupt mitbekommt wenn beispielsweise eine IP-Adressen gesperrt oder Anrufversuche in nicht zugelassene Länder vorgenommen werden.
Update 14.02.2024 – 09:26
V20 2FA ergänzt.
Zumindest bei unseren Kunden hat sich die Lage wieder beruhigt. Wie sieht es denn bei euch so aus?
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Das kann ich bestätigen. Allerdings sind wir per NetAachen (Ableger von NetCologne) angebunden, also beschränkt sich das nicht nur auf Telekom-Kunden. Seit ca. 11 Uhr heute morgen war Ruhe, geht aber weiter seit 19:00 Uhr.
Bei mir zieht sich das über alle Provider (NetCologne, Telekom, Easybell).
167.88.167.9
45.61.133.11
147.236.229.113
Den Zugriff nur auf VPN zu beschränken, widerspricht dem Ansatz einer Cloud-Telefonanlage. Kann Webclient und APP separat sperren?
Was mich interessieren würde, warum greift die globale 3CX Blacklist nicht?
Bei uns steht das Default Blocking in der Anlage 86400 Sekunden und es werden aber nur 900 Sekunden geblockt.
> Den Zugriff nur auf VPN zu beschränken, widerspricht dem Ansatz einer Cloud-Telefonanlage.
Hier stellt sich die Frage was wichtiger ist: Sicherheit oder Cloud?
By the way: Bei den Cloud-PBX von 3CX selbst gibt es schon gar keine Möglichkeit ein VPN zu nutzen.
> Kann Webclient und APP separat sperren?
In der 3CX selbst meines Wissen nach nicht.
Web-Zugriffe kann man ggf. via Reverse Proxy weiter filtern und einschränken, das gilt dann nur für den Webclient (ohne Audio) und setzt natürlich voraus das man einen Reverse Proxy hat und nutzt.
Sofern man den Webclient nicht benötigt, reicht es mitunter aus nur den 3CX Tunnel für die Smartphone-App in der Firewall für Zugriffe von außen zu öffnen.
> Was mich interessieren würde, warum greift die globale 3CX Blacklist nicht?
Die kann nur Blockieren, was sie kennt.
Wenn der oder die Angreifer ständig die IP ändern (und das tun Sie) nutzt das wenig.
> Bei uns steht das Default Blocking in der Anlage 86400 Sekunden und es werden aber nur 900 Sekunden geblockt.
Das kann man anpassen. Nach 24 Stunden ist eine IP wieder “unbelastet”, das kann reichen oder auch nicht.
Ich habe schon Zugriffsversuche beobachtet, da kam die gleiche IP nach 2-3 Tagen wieder.
Angreifer wissen natürlich über die Default Config von 3CX Bescheid und nutzten dann ggf. größere Zeiträume.
ich habe die default Settings mal etwas verschärft:
Failed Authentication Protection von 5 auf 3 geändert,
Blacklist time interval von 86400 auf 604800 geändert, das wären dann 7 Tage,
Maximum allowed requests per IP Address – Offending IPs will be blacklisted von 20 auf 10 geändert,
Request Rate Duration – Configure the duration in seconds in which the above requests are counted von 2 auf 3 geändert.
Der Punkt “Enable Provisioning Secret Key” klingt eigentlich interessant, hat den jemand schon mal nachträglich aktiviert? Nicht das dann alle Endgeräte und Apps rausfliegen?
Was mir schon länger aufgefallen ist: wenn man einen neuen User anlegt, wird automatisch ein Web Authentication Password vergeben. Das kam mir immer ein wenig kurz vor.
Hallo Jan,
vielen Dank für deine best practice.
> Der Punkt “Enable Provisioning Secret Key” klingt eigentlich interessant, hat den jemand schon mal nachträglich aktiviert? Nicht das dann alle Endgeräte und Apps rausfliegen?
Bislang nicht. Ich meine mal aufgeschnappt so haben, das damit nicht alle Telefone klar kommen. Nachträglich aktiviert kann es wohl zudem Schwierigkeiten geben.
> Was mir schon länger aufgefallen ist: wenn man einen neuen User anlegt, wird automatisch ein Web Authentication Password vergeben. Das kam mir immer ein wenig kurz vor.
Das war einmal, wurde allerdings im Laufe der Zeit angepasst und mittlerweile (nach dem Hack und den darauffolgenden Updates) muss jeder neue Benutzer ein eigenes Kennwort festlegen.
Ich mach’ das dann immer per Zufallsgenerator.