Enviado por admin el
Hoy al despertar me he dato cuenta, de pura casualidad, que todos los servidores SIP que manejo están siendo objeto de ataques procedente, supuestamente, de Cisco-SIPGateway IOS-12.x
Personalmente creo que se debe a una vulnerabilidad de esos Gateway ya que en pasado también se había reportado vulnerabilidades graves.
Los ataques proceden de diferentes IP a confirmar un problema grave de seguridad.
Algunas IP involucradas:
62.210.244.196
62.210.245.31
Puedes ser también que no se trate de Gateway SIP Cisco sino de una manipulación de la cabecera User-Agent: de las solicitudes SIP (todos INVITE).
Solución:
- Bloquear cada IP a nivel de IPtables
- Si no trabajan con proveedores que utilizan Gateway Cisco, añadir esta linea a IPtables:
-A INPUT -p udp -m udp --dport 5060 -m string --string "Cisco-SIPGateway" --algo bm --to 65535 -j DROP
Me comentan.
Saludos
Comentarios recientes