Actores de amenaza conocen el Intervalo de tiempo Blacklist 3CX y usan técnicas para evadirla

[jlaratomas]

Saludos a todos,

al parecer los actores de amenaza conocen muy bien dentro de que intervalo de tiempo la central hace los conteos de intentos fallidos, esta central la tengo configurada a que solo acepte 2 intentos fallidos, pero miren como desde una misma IP hacen mas de 20 intentos, lo que pude notar es que hacen el intento de login cada 10+ minutos, eso evita que la IP sea colocada en lista negra. entiendo que sera necesario que se amplie el tiempo de intervalos entre intentos o que esta opción pueda ser ajustada por el administrador de la plataforma.

La imagen que ven mas abajo deja bien claro que los actores están usando de forma efectiva técnicas que les permiten evadir el Anti Hacking de la central, esperando un lapso de 10 minutos entre intento de sesión. Definitivamente están tomando su tiempo en conocer la plataforma y están buscando oportunidades y técnicas para poder ganar acceso a estos sistemas.

 

[Alejandro_3CX]

Hola Jose, lo que es el campo Failed Authentication Protection es para proteger sobre intentos fallidos SIP en la autenticación de una extensión.

Lo que ves en el evento son intentos de ingreso a la consola de administración o cliente web, donde de manera predeterminada son 10 intentos fallidos y la IP se bloqueará por 15 minutos.

Un saludo!

 

[jlaratomas]

Esto donde es posible cambiarlo?

 

[Alejandro_3CX]

no, lo de intentos de acceso a la consola no es posible cambiarlo.

En tal caso podés usar la restricción de consola o usar algún tipo de filtro por geo ip o lista de acceso al puerto https.

 

[jlaratomas]

tocara proponer como idea, definitivamente la adopción tan exponencial de 3CX la ha puesto en los objetivos de los actores de amenaza, y definitivamente el tema del acceso a la central debe endurecerse.

 

[Alejandro_3CX]

podés usar directamente el foro de ideas y dejar el feedback

un saludo!

 

[jlaratomas]

Antes ese campo también afectaba el login de la consola de administración, cuando se cambió?

 

[Alejandro_3CX]

no, nunca fue usado ese campo para los intentos fallido de autenticación sobre la consola de administración o cliente web

 

[jlaratomas]

Pero antes en algun sitio era posible cambiarlo, recuerdo que era muy comun quedarse sin acceso a la consola por un par de intentos fallidos

 

[Alejandro_3CX]

si porque antes aplicaba el timpo de lista negra para ese tema, ahora es de 15 minutos para ese tema.

Esto es un tema de diseño para quienes usan STARTUP en caso de que bloqueen su ip por intento fallidos...

 

[amosquera]

Buen día, gracias José por levantar este tema, porque no teníamos claro porque no se respetaba el tiempo programado en lista negra como el ejemplo adjunto



Antes nos permitía autonomía en el manejo de esos casos y tiempo suficiente para analizar las IPs bloquedas. Ahora es un siga siga cada 15 minutos.

 

[jlaratomas]

asi es, entiendo que lo correcto sería segregar más este tipo de opciones y no limitarlas. Tambien apoyaría mucho la implementación de 2FA tanto para la consola como para el cliente Web, aunque sea algo opcional, pues las organizaciones cuentan con requerimientos de seguridad diferentes.