Разработчики Sangoma Technologies Corporation предупредили об активно эксплуатируемой 0-day уязвимости FreePBX, которая затрагивает системы с панелью администрирования, открытой для доступа через интернет.
FreePBX — это платформа PBX (Private Branch Exchange) с открытым исходным кодом, построенная поверх Asterisk, и широко используемая бизнесом, колл-центрами и сервис-провайдерами для управления голосовыми коммуникациями, внутренними номерами, SIP-транками и маршрутизацией вызовов.
Команда безопасности Sangoma FreePBX предупреждает, что с 21 августа 2025 года хакеры эксплуатируют уязвимость нулевого дня в доступных удаленно панелях администрирования.
«Команде безопасности Sangoma FreePBX стало известно о потенциальном эксплоите, затрагивающем некоторые системы с панелью администрирования, открытой для публичного доступа через интернет. Мы работаем над исправлением, развертывание которого ожидается в течение следующих 36 часов, — исходно писали разработчики. — Пользователям рекомендуется ограничить административный доступ к FreePBX, используя модуль Firewall для ограничения доступа только известными и доверенным хостам».
Уязвимости, лежащей в корне этих атак, был присвоен идентификатор CVE-2025-57819 (10 баллов из 10 возможных по шкале CVSS).
«Недостаточная очистка пользовательских данных позволяет осуществлять неавторизованный доступ к FreePBX Administrator, что может привести к произвольному манипулированию базой данных и удаленному выполнению кода», — объяснили разработчики.
Проблема затрагивает следующие версии:
- FreePBX 15 до версии 15.0.66;
- FreePBX 16 до версии 16.0.89;
- FreePBX 17 до версии 17.0.3.
В результате было выпущено экстренное исправление модуля EDGE, а затем появились и срочные патчи.
По информации Sangoma, 21 августа неавторизованные злоумышленники начали эксплуатировать CVE-2025-57819 в FreePBX версий 16 и 17. После получения первоначального доступа атакующие стремились получить root-права на целевых хостах.
Пользователям рекомендуется как можно скорее обновить FreePBX до последних поддерживаемых версий и ограничить публичный доступ к административной панели управления.
Также рекомендуется посканировать среду на наличие следующих индикаторов компрометации:
- файл /etc/freepbx.conf недавно изменен или отсутствует;
- наличие файла /var/www/html/.clean.sh (файл не должен существовать в обычных системах);
- подозрительные запросы POST к modular.php, которые можно найти в журналах веб-сервера Apache;
- звонки на номер 9998 в журналах вызовов и CDR Asterisk;
- подозрительный пользователь ampuser в БД ampusers или другие неизвестные пользователи.
В настоящее время многие клиенты FreePBX заявили, что их серверы были скомпрометированы через эту уязвимость.
«Несколько серверов в нашей инфраструктуре были взломаны, и атака затронула примерно 3000 SIP-расширений и 500 транков, — пишет на форумах проекта один из клиентов. — В рамках реагирования на инцидент мы заблокировали весь административный доступ и восстановили системы до прежнего состояния».
«Да, мой личный PBX тоже пострадал, равно как и еще один, которым я помогаю управлять. Эксплоит, по сути, позволяет атакующему выполнить любую команду, которую разрешено выполнять пользователю asterisk», — пишет другой пострадавший на Reddit.
