Das Ports immer mal wieder abgeklopft werden kennt man ja, das es speziell 5090/tcp (u.a. 3CX Tunnel) trifft sticht dabei allerdings etwas heraus.

So haben wir im Laufe des Jahres 2024 bislang mehrere Versuche gesehen. Beispielsweise mal im März, April und Mai, allerdings immer nur 1-3 mal pro PBX. Seit Anfang Juli allerdings nahezu täglich, immer drei Versuche innerhalb weniger Sekunden. Durchgekommen ist wohl nichts, da das IDS/IPS der Firewall dies unterbunden hat. Die IP-Adressen sind/waren dabei immer bereits negativ vorbelastet.

Ob das nun ein gezielter Angriff auf 3CX-Telefonanlagen ist oder ob ein anderer Dienst hinter dem Port vermutet wird, haben wir nicht weiter geprüft. Folgende IPs haben bislang erfolglos versucht zuzugreifen:

  • 45.227.254.48
  • 88.214.25.62
  • 88.214.25.63
  • 88.214.25.64
  • 88.214.25.65
  • 91.238.181.16
  • 91.238.181.20
  • 91.238.181.21
  • 91.238.181.22
  • 91.238.181.23
  • 91.238.181.24
  • 91.238.181.71

Alle IP-Adressen stammen aus dem europäischen Ausland (von Deutschland aus gesehen) und der überwiegende Teil gehört zur Layer7 Networks GmbH, diese erbringt u.a. Hosting-Dienstleistungen. Gut möglich das da ein Kunden Schabernack treibt. Jedenfalls wurden die Kollegen kontaktiert.

Quellen

Wikipedia – List of TCP and UDP port numbers

iana – Service Name and Transport Protocol Port Number Registry

speedguide.net – Port 5090 Details

Update 05.08.2024

In der Zwischenzeit ist es etwas ruhiger geworden. Einen ersten Kontakt zu Layer7 gab es ebenfalls.

Über Nacht kam dann mal ein Versuch auf Port 5001 (Webclient) rein:

  • 80.82.70.133

Diesmal aus den Niederlanden und von einem anderen Anbieter.

Update 09.08.2024

Und noch einer (Port 5001/tcp):

  • 185.224.128.17

Wieder aus den Niederlanden.