Разработчики Sangoma Technologies Corporation предупредили об активно эксплуатируемой 0-day уязвимости FreePBX, которая затрагивает системы с панелью администрирования, открытой для доступа через интернет.

FreePBX — это платформа PBX (Private Branch Exchange) с открытым исходным кодом, построенная поверх Asterisk, и широко используемая бизнесом, колл-центрами и сервис-провайдерами для управления голосовыми коммуникациями, внутренними номерами, SIP-транками и маршрутизацией вызовов.

Команда безопасности Sangoma FreePBX предупреждает, что с 21 августа 2025 года хакеры эксплуатируют уязвимость нулевого дня в доступных удаленно панелях администрирования.

«Команде безопасности Sangoma FreePBX стало известно о потенциальном эксплоите, затрагивающем некоторые системы с панелью администрирования, открытой для публичного доступа через интернет. Мы работаем над исправлением, развертывание которого ожидается в течение следующих 36 часов, — исходно писали разработчики. — Пользователям рекомендуется ограничить административный доступ к FreePBX, используя модуль Firewall для ограничения доступа только известными и доверенным хостам».

Уязвимости, лежащей в корне этих атак, был присвоен идентификатор CVE-2025-57819 (10 баллов из 10 возможных по шкале CVSS).

«Недостаточная очистка пользовательских данных позволяет осуществлять неавторизованный доступ к FreePBX Administrator, что может привести к произвольному манипулированию базой данных и удаленному выполнению кода», — объяснили разработчики.

Проблема затрагивает следующие версии:

  • FreePBX 15 до версии 15.0.66;
  • FreePBX 16 до версии 16.0.89;
  • FreePBX 17 до версии 17.0.3.

В результате было выпущено экстренное исправление модуля EDGE, а затем появились и срочные патчи.

По информации Sangoma, 21 августа неавторизованные злоумышленники начали эксплуатировать CVE-2025-57819 в FreePBX версий 16 и 17. После получения первоначального доступа атакующие стремились получить root-права на целевых хостах.

Пользователям рекомендуется как можно скорее обновить FreePBX до последних поддерживаемых версий и ограничить публичный доступ к административной панели управления.

Также рекомендуется посканировать среду на наличие следующих индикаторов компрометации:

  • файл /etc/freepbx.conf недавно изменен или отсутствует;
  • наличие файла /var/www/html/.clean.sh (файл не должен существовать в обычных системах);
  • подозрительные запросы POST к modular.php, которые можно найти в журналах веб-сервера Apache;
  • звонки на номер 9998 в журналах вызовов и CDR Asterisk;
  • подозрительный пользователь ampuser в БД ampusers или другие неизвестные пользователи.

В настоящее время многие клиенты FreePBX заявили, что их серверы были скомпрометированы через эту уязвимость.

«Несколько серверов в нашей инфраструктуре были взломаны, и атака затронула примерно 3000 SIP-расширений и 500 транков, — пишет на форумах проекта один из клиентов. — В рамках реагирования на инцидент мы заблокировали весь административный доступ и восстановили системы до прежнего состояния».

«Да, мой личный PBX тоже пострадал, равно как и еще один, которым я помогаю управлять. Эксплоит, по сути, позволяет атакующему выполнить любую команду, которую разрешено выполнять пользователю asterisk», — пишет другой пострадавший на Reddit.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии