<div>I agree with Zoltan&#39;s email on this. I am not the first one to experience this , still Cisco does not warn or inform about SIP/H.323 open on CME for mis use.&nbsp; We were not using SIP , still some one was able to get on to the router through the WAN and make use of SIP on the router. I think Cisco should clearly state this during the installation/Configuration of CME.</div>

<div>
<div>&nbsp;</div>
<div>&nbsp;</div>
<div>Aman</div><br><br>&nbsp;</div>
<div><span class="gmail_quote">On 6/7/08, <b class="gmail_sendername">Jason Aarons (US)</b> &lt;<a href="mailto:jason.aarons@us.didata.com">jason.aarons@us.didata.com</a>&gt; wrote:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">I would recommend running a port/security scanner on your own subnet,<br>you mind find other unexpected results.<br>
<br>It wasn&#39;t clear if these are outside your firewall.<br><br>-----Original Message-----<br>From: <a href="mailto:cisco-voip-bounces@puck.nether.net">cisco-voip-bounces@puck.nether.net</a><br>[mailto:<a href="mailto:cisco-voip-bounces@puck.nether.net">cisco-voip-bounces@puck.nether.net</a>] On Behalf Of<br>
<a href="mailto:keli@carocomp.ro">keli@carocomp.ro</a><br>Sent: Saturday, June 07, 2008 4:20 AM<br>To: James Buchanan<br>Cc: cisco voip<br>Subject: Re: [cisco-voip] has anyone seen this !<br><br>Basically I agree with you, and I think all of us who faced the<br>
problem have learned our lesson the hard way ... :/<br><br>But the issue here is a bit different, I&#39;d say:<br>Cisco is running SIP and H.323 services by default, once CME is<br>configured.&nbsp;&nbsp;Cisco CME is *routing* incoming SIP/H.323 calls<br>
indiscriminately, also *by default*. The key thing being that your<br>appliance (Cisco CME router in this case) makes things you&#39;re not<br>configured it specifically to do. Where we hit this thing, we didn&#39;t<br>used any SIP services, and the router was configured from blank, so I<br>
did not expect any SIP service to be running on it.<br><br>It&#39;s funny, that on local side Cisco considers their stuff so<br>&quot;secure&quot;, that an auto-registered SCCP phone will not get tone, and<br>won&#39;t be able to call anywhere, but then again a blind incoming SIP<br>
packet can pass through the router as they wish...<br><br>If you consider, that CME systems come integrated into routers, so<br>they are very likely to be used as such in low-budget environments.<br>It&#39;s very possible that the people installing it are not some<br>
extremely experienced telephony and/or networking experts (Cisco&#39;s<br>target for CME is expected to be able to use/configure CME through the<br>web interface). So while it is certainly a bad decision to deploy it<br>that way, it&#39;s not by a mile such an unlikely one.<br>
<br>sorry for the rant. :)<br><br>regards,<br>&nbsp;&nbsp;Zoltan<br><br>Quoting James Buchanan &lt;<a href="mailto:jbuchanan@ctiusa.com">jbuchanan@ctiusa.com</a>&gt;:<br><br>&gt; I find it puzzling why anyone would put their production telephone<br>
&gt; system on the Internet with no apparent security measures, not even an<br>&gt; access list. Cisco should restrict this I suppose, but some basic<br>&gt; network security practices should also have been followed in this case<br>
&gt; during implementation.<br>&gt;<br>&gt;<br>&gt;<br>&gt; From: <a href="mailto:cisco-voip-bounces@puck.nether.net">cisco-voip-bounces@puck.nether.net</a><br>&gt; [mailto:<a href="mailto:cisco-voip-bounces@puck.nether.net">cisco-voip-bounces@puck.nether.net</a>] On Behalf Of Aman Chugh<br>
&gt; Sent: Friday, June 06, 2008 10:50 PM<br>&gt; To: Kelemen Zoltan<br>&gt; Cc: cisco voip<br>&gt; Subject: Re: [cisco-voip] has anyone seen this !<br>&gt;<br>&gt;<br>&gt;<br>&gt; Yes , exactly I was told the same thing&nbsp;&nbsp;and customer is facing a huge<br>
&gt; bill.<br>&gt;<br>&gt;<br>&gt;<br>&gt; On 6/6/08, Kelemen Zoltan &lt;<a href="mailto:keli@carocomp.ro">keli@carocomp.ro</a>&gt; wrote:<br>&gt;<br>&gt;<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; I had bitten this bullet in January (<br>&gt; <a href="https://puck.nether.net/pipermail/cisco-voip/2008-January/029569.html">https://puck.nether.net/pipermail/cisco-voip/2008-January/029569.html</a><br>
)<br>&gt; and I&#39;m still perplexed how can Cisco leave this as-is with SIP and<br>&gt; H.323 wide open for public as default settings, while being well aware<br>&gt; of the situation and it&#39;s possible consequences.<br>
&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; I&#39;ve been discussing this issue with some other colleagues as<br>&gt; well in the branch and I know&nbsp;&nbsp;this has happened to plenty of other<br>&gt; people, in some case causing very serious monetary damage.<br>
&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; regards,<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Zoltan<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Aman Chugh wrote:<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; It was SIP ,&nbsp;&nbsp;disabled sip on the wan port using an ACL to stop<br>&gt; calls going out.<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Aman<br>
&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;On 6/6/08, *James Edmondson* &lt;<a href="mailto:biged7600@gmail.com">biged7600@gmail.com</a><br>&gt; &lt;mailto:<a href="mailto:biged7600@gmail.com">biged7600@gmail.com</a>&gt;&gt; wrote:<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Do you happen to have custom scripts on the CME box? I had<br>
&gt; this<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;problem as whoever developed the script left the hole open to<br>&gt; dial<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;anynumber from the AA.<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;On Thu, Jun 5, 2008 at 2:31 PM, Jorge L. Rodriguez Aguila<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;<a href="mailto:jorge.rodriguez@netxar.com">jorge.rodriguez@netxar.com</a><br>
&gt; &lt;mailto:<a href="mailto:jorge.rodriguez@netxar.com">jorge.rodriguez@netxar.com</a>&gt;&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;wrote:<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;I would recommend that you do Two things immediately.<br>&gt; Install<br>
&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;COR to limit calls and second implement Access List to<br>&gt; Kill<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;H.323 coming from the internet.<br>&gt;<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Jorge<br>&gt;<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;*From:* <a href="mailto:cisco-voip-bounces@puck.nether.net">cisco-voip-bounces@puck.nether.net</a><br>
&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;mailto:<a href="mailto:cisco-voip-bounces@puck.nether.net">cisco-voip-bounces@puck.nether.net</a>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;[mailto:<a href="mailto:cisco-voip-bounces@puck.nether.net">cisco-voip-bounces@puck.nether.net</a><br>
&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&lt;mailto:<a href="mailto:cisco-voip-bounces@puck.nether.net">cisco-voip-bounces@puck.nether.net</a>&gt;] *On Behalf<br>&gt; Of<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;*Aman Chugh<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;*Sent:* Thursday, June 05, 2008 2:13 PM<br>
&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;*To:* cisco voip<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;*Subject:* [cisco-voip] has anyone seen this !<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;I have a site with CME and CUE , the internet link is<br>&gt; also<br>
&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;terminated on my CME router, apparently some one has<br>&gt; hacked<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;into the router and is using the router calling numbers<br>&gt; in<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;cuba and somalia.&nbsp;&nbsp;This has caused a huge bill from the<br>
&gt; phone<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;company.We have TAC case openned for this, When we shut<br>&gt; the<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;internet link this stops .<br>&gt;<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Aman<br>&gt;<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;_______________________________________________<br>
&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;cisco-voip mailing list<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>&gt; &lt;mailto:<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a>&gt;<br>
&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://puck.nether.net/mailman/listinfo/cisco-voip">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;--&nbsp;&nbsp;&nbsp;&nbsp;James<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;_______________________________________________<br>
&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;cisco-voip mailing list<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>&gt; &lt;mailto:<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a>&gt;<br>
&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="https://puck.nether.net/mailman/listinfo/cisco-voip">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>------------------------------------------------------------------------<br>
&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; _______________________________________________<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; cisco-voip mailing list<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="https://puck.nether.net/mailman/listinfo/cisco-voip">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt;<br><br><br><br>----------------------------------------------------------------<br>This message was sent using IMP, the Internet Messaging Program.<br><br>_______________________________________________<br>
cisco-voip mailing list<br><a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br><a href="https://puck.nether.net/mailman/listinfo/cisco-voip">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>
<br>-----------------------------------------<br>Disclaimer:<br><br>This e-mail communication and any attachments may contain<br>confidential and privileged information and is for use by the<br>designated addressee(s) named above only.&nbsp;&nbsp;If you are not the<br>
intended addressee, you are hereby notified that you have received<br>this communication in error and that any use or reproduction of<br>this email or its contents is strictly prohibited and may be<br>unlawful.&nbsp;&nbsp;If you have received this communication in error, please<br>
notify us immediately by replying to this message and deleting it<br>from your computer. Thank you.<br>_______________________________________________<br>cisco-voip mailing list<br><a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>
<a href="https://puck.nether.net/mailman/listinfo/cisco-voip">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br></blockquote></div><br>