Карточка риска

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Угроза

Несанкционированный доступ к IP телефону из локальной сети

из-за уязвимости

Возможность подбора пароля путем перебора (bruteforce)

в Активе

IP телефон

Описание угрозы

Подразумевается сетевой доступ в операционную среду телефона, т.е. доступ к административной панели прошивки телефона, получение возможности запуска на выполнение штатных команд, функций, процедур.

Описание уязвимости

Брутфорсом называется метод взлома различных учетных записей, путем подбора логина и пароля. Термин образован от сочетания английских слов brute force, означающих в переводе «полный перебор». Еще брутфорс называют методом грубой силы. Его суть заключается в автоматизированном переборе всех допустимых комбинаций пароля к учетной записи с целью выявления правильного. Подробнее

Злоумышленник может попытаться подобрать пароли к учетным записям. Подбор пароля методом перебора может принимать или не принимать во внимание парольную политику (сложность пароля или блокировку учетной записи).
Перебор паролей может привести к многочисленным сбоям аутентификации и блокировкам учетных записей, в зависимости от парольной политики.
Обычно целевые службы для подбора пароля следующие:

SSH (22/TCP)
Telnet (23/TCP)
FTP (21/TCP)
NetBIOS / SMB / Samba (139/TCP и 445/TCP)
LDAP (389/TCP)
Kerberos (88/TCP)
Службы RDP / Terminal (3389/TCP)
Службы управления HTTP/HTTP (80/TCP и 443/TCP)
MSSQL (1433/TCP)
Oracle (1521/TCP)
MySQL (3306/TCP)
VNC (5900/TCP)

Попытки перебора пароля злоумышленником могут регистрироваться в журналах атакованных служб.

Описание типа актива

Телекоммуникационное устройство, обеспечивающее возможность голосового общения удаленных абонентов, использующее в качестве среды для передачи голоса IP-сеть, посредством которой он подключён к прокси-серверу провайдера IP-телефонии или IP-АТС, VoIP-серверу.

Объекты атаки IP телефон

Классификация

Иное: НСД

Источники угрозы

Внешний нарушитель - Низкий потенциал

Внутренний нарушитель - Низкий потенциал

Каталоги угроз

БДУ ФСТЭК:

УБИ.027 Угроза искажения вводимой и выводимой на периферийные устройства информации

Угроза заключается в возможности дезинформирования пользователей или автоматических систем управления путём подмены или искажени...

УБИ.115 Угроза перехвата вводимой и выводимой на периферийные устройства информации

Угроза заключается в возможности осуществления нарушителем несанкционированного доступа к информации, вводимой и выводимой на пе...

Техники ATT@CK:

T1110.001 Brute Force: Password Guessing

Adversaries with no prior knowledge of legitimate credentials within the system or environment may guess passwords to attempt ac...

Связанные защитные меры

	Название	Дата	Влияние
Community 3 3 / 29	Приведение конфигурации IP телефонов в соответствие требованиям безопасности Ежегодно Вручную Техническая Превентивная 29.07.2021	29.07.2021	3 3 / 29
Цель: защита IP телефонов от несанкционированного доступа и эксплуатации. Пример требований безопасности к конфигурации IP телефонов: Смена пароля для учетной записи администратора Обновление прошивки IP телефонов до крайней стабильной версии Отключение неиспользуемых/небезопасных портов/протоколов HTTP (порт 80) Telnet (порт 23) VxWorks debugger (порт 17185) Настройка встроенного межсетевого экрана Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link). Инструкция к регулярной задаче Найти в локальной сети все IP телефоны Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24 Проверить текущие настройки и версию прошивки. Если требуется - провести настройку в соответствии с установленными требованиями *Рекомендации к заполнению карточки:* Описать требования к безопасной конфигурации Добавить в заметки к мере Инструкции по настройке IP телефонов различного типа Добавить шаблон регулярной задачи по проверке и настройке конфигурации IP телефонов;
Community 3 11 / 43	Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети) Разово Вручную Техническая 29.07.2021	29.07.2021	3 11 / 43
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне со стороны периферийного оборудования и IP телефонов. К периферийному оборудованию могут относятся принтеры, сканеры, IP телефоны и иные устройства подключаемые к локальной сети компании. Обязательным условием сегментации является ограничение доступа в выделенный сегмент и из него. Пример политики ограничения доступа к сегменту периферийного оборудования: доступом к выделенному сегменту могут обладать только серверы управления (сервер IP телефонии, сервер печати). Доступ из выделенного сегмента возможен также только к серверам управления. Доступ к локальным сетям с рабочими станциями и доступ в интернет заблокированы. Часто мера в части ограничения доступа сложно реализуема. Например если подключение рабочих станций к принтерам осуществляется по сети напрямую а не через сервер печати. Или если IP телефон подключен в одну сетевую розетку с рабочей станцией. В таких случаях следует настроить более широкие права доступа к сегменту и из него. Реализация: настройкой сетевого оборудования (VLAN). После реализации защитной меры следует внедрить меру по регулярному поиску периферийных устройств в локальных сетях, с целью их переноса в выделенный сегмент. *Рекомендации к заполнению карточки:* Указать перечень сегментов и их назначение Описать способы/технологии сегментации Описать как настроено ограничение доступа (ACL) Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).