<html><head><style>body{font-family:Helvetica,Arial;font-size:13px}</style></head><body><div style="font-family:Helvetica,Arial;font-size:13px; ">Hello all,</div><div style="font-family:Helvetica,Arial;font-size:13px; "><br></div><div style="font-family:Helvetica,Arial;font-size:13px; ">I need some help to sort this out: we have attacks mainly on Cisco SPAs that seem to use some call redirection weakness changing caller ID:</div><div style="font-family:Helvetica,Arial;font-size:13px; "><br></div><div style="font-family:Helvetica,Arial;font-size:13px; "><p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Redirect from UAC to '«00377630547760»:«c.voceblu.it»' intercepted - R=«sip:00377630547760@c.voceblu.it;transport=udp» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Callee is not local - R=«sip:00377630547760@c.voceblu.it;transport=udp» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Call to SIP Peering - R=«sip:00377630547760@c.voceblu.it;transport=udp» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Load gws matching calling part '«sip:0691516096@c.voceblu.it»' and called user '«00377630547760»' and called part '«sip:00377630547760@c.voceblu.it;transport=udp»' - R=«sip:00377630547760@c.voceblu.it;transport=udp» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Setting acc source-leg for uuid '«d0019f4a-285a-47ee-b7fd-46fcbdd68586»': '«d0019f4a-285a-47ee-b7fd-46fcbdd68586|0122622461|c.voceblu.it|390122622461||2682|321|||<null>|cfb|213.204.31.10|1626364769.807718||||||||||||390122622461||||||8|»' - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Rewriting acc called party '«00377630547760»' to '«377630547760»' - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Setting acc destination-leg for uuid '«0»': '«0|||0|00377630547760|0|00377630547760|213.204.30.51|00377630547760|c.voceblu.it|3||||||||||||377630547760|||»' - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Setting caller_cli_userprov/caller_domain_userprov '«0691516096»@«213.204.31.10»' for upn - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Setting From to '<«sip:0691516096@213.204.31.10»>' - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Setting caller_cli_userprov/caller_domain_userprov '«0691516096»@«213.204.31.10»' for upn - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Setting PAI to '<«sip:0691516096@213.204.31.10»>' - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Rewriting called party '«00377630547760»' to '«377630547760»' - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Setting P-Called-Party-ID '<sip:«377630547760»@«213.204.30.51»>' - R=«sip:377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Setting 'sip:«213.204.30.51»:«5060»' taken from D-URI as next hop after lb for PSTN call - R=«sip:377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Appending P-D-URI '«sip:127.0.0.1:5060;received=sip:213.204.30.51:5060%3blr%3btransport%3dudp»' - R=«sip:377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Forcing request via B2BUA '«sip:127.0.0.1:5080»' - R=«sip:377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Dropping local branch - R=«sip:00377630547760@c.voceblu.it;transport=udp» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 17:59:29 centrale proxy[1748]: NOTICE: <script>: Request leaving server, M=INVITE fs='«127.0.0.1»:«5062»' du='«127.0.0.1»:«5080»' - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f059fe-46c55b62-12e232b0-1062088f@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 18:00:42 centrale proxy[1737]: NOTICE: <script>: Redirect from UAC to '«00377630547760»:«c.voceblu.it»' intercepted - R=«sip:00377630547760@c.voceblu.it;transport=udp» ID=«0e15e0000ef5-60f05a47-2b9db9b2-140e3760-10620bdf@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 18:00:42 centrale proxy[1737]: NOTICE: <script>: Callee is not local - R=«sip:00377630547760@c.voceblu.it;transport=udp» ID=«0e15e0000ef5-60f05a47-2b9db9b2-140e3760-10620bdf@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 18:00:42 centrale proxy[1737]: NOTICE: <script>: Call to SIP Peering - R=«sip:00377630547760@c.voceblu.it;transport=udp» ID=«0e15e0000ef5-60f05a47-2b9db9b2-140e3760-10620bdf@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 18:00:42 centrale proxy[1737]: NOTICE: <script>: Load gws matching calling part '«sip:0691516096@c.voceblu.it»' and called user '«00377630547760»' and called part '«sip:00377630547760@c.voceblu.it;transport=udp»' - R=«sip:00377630547760@c.voceblu.it;transport=udp» ID=«0e15e0000ef5-60f05a47-2b9db9b2-140e3760-10620bdf@127.0.0.1» UA='TELES-SBC'</span></p>
<p style="margin: 0px; font-stretch: normal; font-size: 11px; line-height: normal; font-family: Menlo;"><span style="font-variant-ligatures: no-common-ligatures">/var/log/ngcp/kamailio-proxy.log-20210715-1626365821.gz:Jul 15 18:00:42 centrale proxy[1737]: NOTICE: <script>: Setting acc source-leg for uuid '«d0019f4a-285a-47ee-b7fd-46fcbdd68586»': '«d0019f4a-285a-47ee-b7fd-46fcbdd68586|0122622461|c.voceblu.it|390122622461||2682|321|||<null>|cfb|213.204.31.10|1626364842.837492||||||||||||390122622461||||||8|»' - R=«sip:00377630547760@213.204.30.51» ID=«0e15e0000ef5-60f05a47-2b9db9b2-140e3760-10620bdf@127.0.0.1» UA='TELES-SBC'</span></p><div style="font-family:Helvetica,Arial;font-size:13px; "><br></div>Restricting allowed_clis does not seem to solve the problem<br><br><table class="table table-bordered table-striped table-highlight table-hover" id="preferences_table3" style="max-width: 100%; border-spacing: 0px; width: 1140px; margin-bottom: 20px; border-width: 1px 1px 1px 0px; border-top-style: solid; border-right-style: solid; border-bottom-style: solid; border-top-color: rgb(28, 43, 55); border-right-color: rgb(221, 221, 221); border-bottom-color: rgb(221, 221, 221); border-top-left-radius: 4px; border-top-right-radius: 4px; border-bottom-right-radius: 4px; border-bottom-left-radius: 4px; color: rgb(51, 51, 51); font-family: "Open Sans", arial, sans-serif; font-size: 12px; orphans: 2; widows: 2; text-decoration-thickness: initial;"><tbody><tr class="sw_action_row"><td style="padding: 13px 8px; line-height: 20px; vertical-align: top; border-top-width: 1px; border-top-style: solid; border-top-color: rgb(221, 221, 221); border-left-width: 1px; border-left-style: solid; border-left-color: rgb(255, 255, 255); border-right-width: 1px; border-right-style: solid; border-right-color: rgb(221, 221, 221); background-color: rgb(245, 245, 245);">allowed_clis</td><td style="padding: 13px 8px; line-height: 20px; vertical-align: top; border-top-width: 1px; border-top-style: solid; border-top-color: rgb(221, 221, 221); border-left-width: 1px; border-left-style: solid; border-left-color: rgb(255, 255, 255); border-right-width: 1px; border-right-style: solid; border-right-color: rgb(221, 221, 221); background-color: rgb(245, 245, 245);">Allowed CLIs for outbound calls</td><td style="padding: 13px 8px; line-height: 20px; vertical-align: top; border-top-width: 1px; border-top-style: solid; border-top-color: rgb(221, 221, 221); border-left-width: 1px; border-left-style: solid; border-left-color: rgb(255, 255, 255); border-right-width: 1px; border-right-style: solid; border-right-color: rgb(221, 221, 221); background-color: rgb(245, 245, 245);">390122622461</td></tr></tbody></table></div><div><br></div><div>Any suggestion on how to block / solve the problem, please?</div><div><br></div><div>Thanks</div><div><br></div><div>Stefano</div><div><br></div></body></html>