Hoy al despertar me he dato cuenta, de pura casualidad, que todos los servidores SIP que manejo están siendo objeto de ataques procedente, supuestamente, de Cisco-SIPGateway IOS-12.x

Personalmente creo que se debe a una vulnerabilidad de esos Gateway ya que en pasado también se había reportado vulnerabilidades graves.

Los ataques proceden de diferentes IP a confirmar un problema grave de seguridad.

Algunas IP involucradas:

62.210.244.196

62.210.245.31

Puedes ser también que no se trate de Gateway SIP Cisco sino de una manipulación de la cabecera User-Agent: de las solicitudes SIP (todos INVITE).

Solución:

1. Bloquear cada IP a nivel de IPtables
2. Si no trabajan con proveedores que utilizan Gateway Cisco, añadir esta linea a IPtables:

-A INPUT -p udp -m udp --dport 5060 -m string --string "Cisco-SIPGateway" --algo bm --to 65535 -j DROP

Me comentan.

Saludos