Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보Sipvicious security tool을 이용한 Scan 분석
작성일 2017-01-24 조회 856

1. 개요

SIPVicious는 SIP 기반의 VoIP 감사도구이나, 공격자들에 의해 악용되고 있다.

Tool 중에 svmap을 이용하여 자동으로 INVITE 스캔을 수행하여 전화 시스템을 검색하는 기능이 있다.

그러나 공격자는이 기능을 악용하여 호출 명령으로 INVITE 검색을 수행하여 PBX 전화 네트워크의 특정 전화 호스트에 연결하는 취약한 암호를 알아낼수 있다.

이러한 호스트에 액세스하여, 국제전화번호나 프리미엄 번호에 전화를 걸어 과금이 유도되도록 시도 한다.

 

2. 확인 내역

Sipvicious tool을 이용한 Scan 공격으로 의심되는 패킷이 지속적으로 유입 되는 것을 확인하였다.

[그림1. 패킷 유입 내역]

 

실제 Sipvicious security tool을 이용하여 발생되는 패킷을 확인하였다.

[그림2. Sipvicious security tool Scan 패킷 내역]
 

[그림3. Sipvicious security tool 내역]

 

3. 정리

지속적으로 허니넷에 유입되는 패킷과 실제 Tool을 이용하여 발생한 패킷이 동일함을 확인하였다.

보안패치가 완료되었지만, 손쉽게 구할수있는 Tool을 이용하여 불특정 다수의 대역에 스캔을 시도하는 것으로 판단된다.

 

4. 대응 방안

1) 사설 PBX 시스템을 사용하는 관리자는 적절한 업데이트를 한다.

 

2) Sniper IPS에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 패턴 블럭] : 3388, SIP Vulnerability Scanner(Sipvicious)

 

5. 참고

http://www.boannews.com/media/view.asp?idx=33548

https://github.com/EnableSecurity/sipvicious

 

첨부파일 첨부파일이 없습니다.
태그 Sipvicious  VoIP  svmap  INVITE