SIP Vicious, l’outil de pentest VoIP par excellence

En cybersécurité, la frontière entre piratage éthique et piratage  malveillant est souvent mince. SIPVicious est un parfait exemple de ce phénomène : conçu pour les professionnels de la sécurité, il est aussi largement utilisé par les criminels pour identifier et exploiter les vulnérabilités des réseaux SIP. Découvrons comment et pourquoi il est utilisé par chaque partie. 


SIPVicious : c’est quoi ? 

SIP Vicious est une suite d’outils de piratage dédiée à l’analyse de vulnérabilité des réseaux VoIP. Elle est développée par la société Enable Security qui propose une large gamme de services comme des audits de sécurité ou des formations pour protéger les réseaux RTC et SIP. 

SIP Vicious est un outil de sécurité “offensif” : il permet de pratiquer le “hacking back”(piratage en retour) et est principalement utilisé dans des opérations de pentest. 

SIP Vicious est une suite d’outils open-source, son code peut être téléchargé sur le github d’Enable Security


Outils de pentest offensif

Sip vicious est composé de 5 outils :

Svmap est un scanner SIP, il est utilisé pour identifier les serveurs SIP : lorsqu’il est déployé sur une adresse IP cible, svmap peut lister ses périphériques SIP et serveurs PBX associés. Il peut être utilisé pour le listing/inventaire du réseau afin de compléter le catalogue des composants du réseau.

Svwar permet aux utilisateurs de découvrir les extensions actives sur un serveur PBX cible. Il indique si l’extension est enregistrée ou non et si elle nécessite une authentification ou non.

Svcrack est utilisé pour cracker les mots de passe du serveur central ou du registrar. Il doit être combiné avec des dictionnaires de mots ou de chiffres : c’est un outil de brute force pour le SIP.

Svcrash est un outil de défense pour protéger les réseaux SIP contre les requêtes svwar et svcrack. Il bloque les floods SIP effectués par les attaquants utilisant svwar.


Pré-requis pour utiliser SIPVicious

Systèmes d’exploitation (OS)

SIPVicious peut être lancé sur Linux, MacOs et Windows. Il peut également être utilisé sur la plateforme Docker. 

De plus, SIPVicious est basé sur des scripts Python. Vous devrez donc installer le compilateur Python sur votre ordinateur.

Matériel

Le logiciel ne nécessite pas beaucoup de ressources, 512MB de mémoire vive est suffisant pour faire fonctionner SIP Vicious. La seule limitation pour les ordinateurs à faibles ressources concerne la fonction de flooding SIP : l’intensité de l’attaque dépendra des ressources de votre machine.


Comment est utilisé SIPVicious ?

Pentest SIP 

SIPVicious est principalement utilisé par les hackers éthiques pour les audits de sécurité des systèmes VoIP basés sur le protocole SIP. Lors de test de pénétration, les professionnels de l’informatique scannent le réseau et tentent de craquer des comptes sip. Ces cyberattaques simulées permettent aux entreprises de connaître les vulnérabilités et les faiblesses de leur réseau. 

L’attaque SIP Vicious

De nombreux pirates utilisent SIPVicious pour effectuer une reconnaissance et recueillir des informations sur les téléphones IP/VoIP et les systèmes PBX.

Friendly scanner : SIP DDoS 

Comme tout outil qui peut être détourné de son objectif initial, SIP Vicious est souvent utilisé pour réaliser de véritables hacks.

De nombreuses entreprises, opérateurs et professionnels de la sécurité font état d’attaques par déni de service (DDoS) réalisées avec les outils SIPVicious.

Ce type d’attaque, appelé “friendly scanner”, provient souvent d’une propriété User-Agent contenant “sipvicious”. Friendly scanner peut provoquer une situation de DDoS et paralyser toute une infrastructure téléphonique. 

Brute force 

Le module d’attaque bruteforce de SIPVicious (svcrack) peut être utilisé pour forcer les informations d’identification SIP. Ce module essaiera de deviner le nom d’utilisateur et le mot de passe SIP en effectuant plusieurs tentatives d’authentification. Lorsque le mot de passe est craqué, l’attaquant peut effectuer une grande variété de piratages comme le Toll fraud (arnaque à l’appel surtaxé).

Attaque par rejeu

Une attaque par rejeu consiste pour un attaquant à capturer une requête valide et à la rejouer ultérieurement. Elle peut être utilisée pour effectuer les actions souhaitées par l’attaquant ou pour contourner les contrôles de sécurité.

Comme de nombreux dispositifs SIP permettent la réutilisation de nonce (numéro de hachage cryptographique), il suffit aux attaquants de l’intercepter et de le rejouer pour accéder à un dispositif ou à une extension.

La commande d’attaque par rejeu (“reusenonce”) de sipvicious peut être utilisée pour rejouer des requêtes SIP précédemment enregistrées. Elle peut être utilisée pour rejouer un appel ou une requête qui amènera le serveur à effectuer une action souhaitée par l’attaquant.

Protection contre SIP Vicious

Certaines mesures peuvent être prises pour protéger votre réseau contre les attaques de type “friendly scanner”.

  1. Certains “user-agents” sont connus pour être associés à l’attaque, bloquez-les pour ne recevoir aucun traffic de sources contenant ces expressions.
  2. Lorsque plusieurs tentatives d’enregistrement échouées sont constatées, vous pouvez interdire temporairement l’adresse IP associée. 
sipclifriendly-scanner
GulpVaxSIPUserAgent
sipviciousiWar
sipvsiparmyknife
sip-scanCSipSimple
smapTest Agent
sipsakSIVuS
friendly-requestVaxIPUserAgent
sundayddr
Liste d’user-agent frauduleux

Pour ce faire, il suffit de bloquer l’adresse IP dans la liste de contrôle d’accès (ACL) de votre session border controller (SBC).

La liste complète des recommandations peut être consultée sur le blog de Kolmisoft


SIP Vicious est-il légal ?

L’utilisation de SIPVicious est strictement réservée aux opérations d’audit, et plus particulièrement à la réalisation de tests de pénétration (pen test). Les conditions d’un test de pénétration doivent figurer dans un contrat entre le hacker et l’entreprise. 

Toute utilisation de ces outils en dehors de ce type d’accord est contraire à la loi.

Il est toutefois possible d’essayer SIPVicious sur un réseau local.

homme au téléphone

Protégez vos communications

Diskyver est un système de détection d’anomalies téléphoniques qui surveille votre infrastructure téléphonique à la recherche d’activités malveillantes ou de violations de politiques.

Découvrez la solution

Découvrez nos dernières publications

4 conseils pour configurer un SVI user friendly

« A la fin de votre message, si vous souhaitez le modifier, tapez dièse … » Bip !  Si à l’écoute de ces quelques mots un mélange de frustration et d’anxiété vous envahit, vous êtes un humain normalement constitué. Pourtant il s’agit du serveur vocal interactif le...

Le spoofing, les Robocalls, Appels surtaxés : les attaques en vogue sur la VoIP

Le Spoofing et les Robocalls ont fait perdre aux Américains près de 30 milliards de dollars. Un citoyen reçoit jusqu'à 5 appels illégitimes de cybercriminels chaque mois ce qui représente plus de 40 % des 4 à 5 milliards de robocalls passés chaque mois. En France, le...

Installer un serveur Asterisk sécurisé : guide d’installation [Linux]

Quelle solution d’IPBX virtuel choisir ? Avant de démarrer vos recherches d’IPBX il faut définir les besoins de votre entreprise. Prenez votre configuration actuelle comme référence et établissez des impératifs : de manière chiffrée (nombres de lignes, nombres...

Comment vous protéger d’une attaque par TDoS ?

Les entreprises sont la cible d’une grande variété de cyber menaces parmi lesquelles, le TDoS. Ce type d’attaque consiste à inonder de requêtes les serveurs téléphoniques de l’entreprise ciblée pour ensuite exiger une rançon contre la remise en service des serveurs....

Protocole SIP : la référence pour la VoIP

SIP pour Session Initiation Protocol est, depuis 2007, le protocole de référence pour la gestion de la Voix par Internet (VoIP). Il est principalement utilisé en téléphonie mais sert également pour la visio, la réalité virtuelle ou les jeux vidéo en ligne....

Votre Session Border Controller est essentiel, faites le bon choix

Le Session Border Controller est un élément indispensable à toute infrastructure téléphonique, il en est le portier. A la manière d’un agent de sécurité, il contrôle les entrées du réseau, il est important que ses capacités soient adaptées au type de flux à...

Visioconférence : 5 conseils pour assurer la confidentialité et la sécurité de vos réunions.

Depuis le début de la crise sanitaire et avec la généralisation du télétravail, le besoin des entreprises en solutions de visioconférence a explosé. L’offre est large et variée : Zoom, Teams ou encore la solution française certifiée par l’Anssi Tixeo. De plus en plus...

STIR/SHAKEN : tout ce qu’il faut savoir

L’appellation « STIR/SHAKEN » désigne un suite de protocoles et procédures pensées pour lutter contre l’usurpation d’identité téléphonique (caller ID spooffing). Le 31 mars dernier, la Federal Communications Commission des états-unis a voté en faveur du...

Qu’est-ce que le protocole SIPS ?

Le protocole SIP est le protocole le plus largement utilisé pour la VoIP. Sa version sécurisée, le SIPS a été créé pour répondre aux problèmes de confidentialité des données en transit. Le protocole SIPS assure une opacité des paquets transportés mais est-il pour...
WordPress Cookie Plugin by Real Cookie Banner