<div dir="ltr"><div>Do you have the 'read only' user password changed on the Edgemarc? I've seen interesting problems occur when the 'read only' account is vulnerable. <br><br></div>Keith <br><div><br><br>
</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Nov 1, 2013 at 9:30 AM, Matt Yaklin <span dir="ltr"><<a href="mailto:myaklin@g4.net" target="_blank">myaklin@g4.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Hi all,<br>
<br>
I had some toll fraud to Grenada last night which we stopped as soon<br>
as we became aware of it. Example numbers being dialed were:<br>
<br>
<a href="tel:1-473-405-0085" value="+14734050085" target="_blank">1-473-405-0085</a><br>
<a href="tel:1-473-405-0084" value="+14734050084" target="_blank">1-473-405-0084</a><br>
<a href="tel:1-473-405-0088" value="+14734050088" target="_blank">1-473-405-0088</a><br>
<br>
Normally I can track down how it happened to figure out who was at fault.<br>
But this time I am having a hard time.<br>
<br>
The customer has two types of service from us. Yealink phones connected<br>
to our Broadsoft system with an Edgemarc 200EW installed at the customer<br>
premise. They also have some POTS line with us for faxing. One of those<br>
POTS lines is connected to the Edgemarc 200EW via the built in FXO port<br>
for "Survivability". Meaning if the WAN ethernet port on the Edgemarc has<br>
a failure they can at least have one line to dial out on in case of an<br>
emergency. That is about the only time it would ever be used except for<br>
faxing.<br>
<br>
The toll fraud CPN just happens to be that POTS line connected to the<br>
Edgemarc. That POTS line is also connected to a very basic fax machine.<br>
<br>
In the Edgemarc for that FXO port two stage dialing is disabled in<br>
both directions. We had incoming calls on the FXO line being forward to a<br>
Yealink phone but that would never function properly due to the customer<br>
having a fax line picking up first. Just leftover config during the<br>
install where we made an assumption the customer might want it.<br>
<br>
The Yealink phones are behind the Edgemarc (NAT) and not reachable via the<br>
internet. The Edgemarc is using radius for user auth and has strong<br>
passwords set. I cannot find any config in Broadsoft where a user<br>
had call forwarding setup or whatever that would cause this. I cannot find<br>
any settings in the Edgemarc that would allow this to take place. As in<br>
a config mistake.<br>
<br>
The Edgemarc is running code Version 11.6.19.<br>
The Yealink phones are also up2date with the newest code from the vendor's<br>
website.<br>
<br>
I do not think this fraud was done on site via physical means. It is<br>
a school and I just cannot picture a student or faculty having a need<br>
to call Grenada.<br>
<br>
The Edgemarc does have port 5060 open to the world but it is just a ?proxy?<br>
I was under the impression that one cannot brute force an account on a<br>
proxy device that has no config as such like an asterisk box would. You<br>
would be basically brute forcing against Broadsoft in that case?<br>
<br>
Either way I am still digging into things but I thought by sending this<br>
email someone might have some advice to clue me into something I am<br>
missing when it comes to Edgemarc and FXO security.<br>
<br>
Thanks,<br>
<br>
<a href="mailto:matt@g4.net" target="_blank">matt@g4.net</a><br>
<br>
<br>
______________________________<u></u>_________________<br>
VoiceOps mailing list<br>
<a href="mailto:VoiceOps@voiceops.org" target="_blank">VoiceOps@voiceops.org</a><br>
<a href="https://puck.nether.net/mailman/listinfo/voiceops" target="_blank">https://puck.nether.net/<u></u>mailman/listinfo/voiceops</a><br>
</blockquote></div><br></div>