Absicherung eines Audiocodes SBCs für Teams Direct Routing
Erik Kleefeldt / 26. Oktober 2022
Am 24. Oktober 2022 hat Audiocodes einen Newsletter mit dem Titel „SBC Security Configuration Update for Microsoft Teams Direct Routing“ versendet, welcher nahelegt, dass Audiocodes SBCs für Teams Direct Routing noch besser abgesichert werden sollten. Gegenwärtig existiert eine Schwachstelle, die es Angreifer:innen ermöglicht, über den Session Border Controller (SBC) Anrufe zu tätigen. Diese kann relativ einfach durch die Anpassung der SBC Konfiguration geschlossen werden. Eine neue oder andere Firmware für den SBC ist dafür nicht erforderlich.
Hintergrund
Microsoft gibt in der Teams Direct Routing Dokumentation zwei sehr große Netzbereiche (52.112.0.0/14, 52.120.0.0/14) für Teams Direct Routing an. Die nachstehende Abbildung zeigt einen Ausschnitt der Microsoft Teams Direct Routing Dokumentation vom Stand 25.10.2022.
In den bisherigen Audiocodes Konfigurations-Guidelines für Teams Direct Routing waren zwei Einstellungen zur IP-Einschränkung vorhanden, allerdings sind diese nicht granular genug. Einerseits war dies eine Classification Rule, die prüft, ob Anfragen (SIP Messages) von 52.*.*.* kommen (Vgl. nächsten Screenshot eines älteren Konfigurations-Guides). Allerdings werden davon nicht alle IPs ausschließlich vom Microsoft Teams Telefonsystem verwendet.
Andererseits gab es noch einen etwas enger gefassten Firewall-Konfigurations-Vorschlag (Vgl. nächsten Screenshot eines älteren Konfigurations-Guides).
Kurzum, die angegebenen Bereiche in den Classification Rules umfassten mehr IP-Adressen als benötigt und in Besitz von Microsoft sind. Damit bietet sich Angreifern, mit einer 52’iger IP, die Option sich als legitimer Teams SIP Proxy auszugeben, um damit über den anzugreifenden Teams Direct Routing SBC ausgehende Anrufe zu tätigen und dies für entsprechend böswilliger Absichten auszunutzen, sofern keinerlei Firewall/IP Filter dies blockiert.
Auswirkungen
Potenzielle Angreifer können (ausgehende) Anrufe tätigen. Dabei ist es nicht auf banale Szenarien wie reiner Gebührenbetrug oder dergleichen eingeschränkt. Es sind mit etwas Kreativität viele weitere böswillige Szenarien umsetzbar, zum Beispiel ausgehende Anrufe mit der Nummer einer Person aus dem Vorstand, Geschäftsführung, Personalabteilung, Marketing o. ä. könnten durch den Angreifer geführt werden.
Auf die weiteren Auswirkungen eines solchen (geschäftsschädigenden/destruktiven) Angriffs möchte ich hier gar nicht weiter eingehen.
Vorgehensweise und Lösung
Audiocodes hat die Konfigurations-Guides für Teams Direct Routing sehr schnell angepasst und eine engere Absicherung dokumentiert. Anders als bisher sollten die SBC Classification Rules auf den benötigten Microsoft Teams Telefonsystem, IP-Bereich bzw. die -Bereiche eingeschränkt werden.
Das heißt es sollten (mehrere) Classification Rules erstellt werden, wobei in jeder dieser Regel ein kleinerer IP-Bereich hinterlegt ist. Anstatt 52.*.*.* sollten die Regeln die nachstehenden IP-Bereiche enthalten:
- 52.112.*.*
- 52.113.*.*
- 52.114.*.*
- 52.115.*.*
- 52.120.*.*
- 52.121.*.*
- 52.122.*.*
- 52.123.*.*
Eine Firewall/IP Filter (bspw. Azure NSG) sollte verwendet werden. Auf der Firewall/IP Filter sollten nur die benötigten IP-Bereiche eingetragen und erlaubt werden. In Zukunft sollten Sie verfolgen, ob es weitere Netze für Teams Direct Routing bzw. das Teams-Telefonsystem gibt und diese in der Konfiguration ergänzen. Es kann immer wieder weitere Netze geben, wenn beispielsweise neue Microsoft Rechenzentren mit Teams Telefonsystem-Diensten hinzukommen.
Sie benötigen Unterstützung?
Bei Fragen oder Problemen können Sie sich gerne per E-Mail an support@abtis.de oder per Telefon unter 07231/4431200 an uns wenden oder Ihren vertrieblichen Ansprechpartner kontaktieren.
Jetzt Kontakt aufnehmen