FreepBx’te CVE-2025-57819 olarak adlandırılan kritik bir SQL enjeksiyon güvenlik açığı, veritabanını değiştirmek ve savunmasız sistemlerde keyfi kod yürütme sağlamak için saldırganlar tarafından aktif olarak sömürülmüştür.
Güvenlik açığı, Freepbx 15, 16 ve 17 dahil olmak üzere desteklenen tüm sürümlerde yıldız işareti VoIP sistemlerini yönetmek için web tabanlı bir yönetim arayüzü sağlayan popüler açık kaynaklı PBX platformunu etkiler.
SQL enjeksiyon güvenlik açığı, son nokta modülünün AJAX işleyicisi içinde, özellikle de /admin/ajax.php “Marka” parametresinin uygun giriş dezenfekte edilmesinden yoksun olduğu son nokta.
Saldırganlar, SQL komutlarını doğrudan FreePBX veritabanına enjekte eden kötü niyetli istekler hazırlayarak bu güvenlik açığını kullanır. Tipik bir saldırı talebi, ajax.php Kodlanmış SQL enjeksiyon yüklerini içeren özel hazırlanmış parametrelere sahip dosya.
Güvenlik açığı, saldırganların keyfi girişler eklemesini sağlar. cron_jobs Freepbx’in planlanmış görev yönetimi için kullandığı veritabanı tablosu.
Bu tabloyu manipüle ederek, saldırganlar otomatik olarak yürütmek için kötü amaçlı komutlar planlayabilir ve hedef sistemde kalıcı kod yürütülmesini etkili bir şekilde elde ederler.
İstismar tekniği, FreepBX’in iç mimarisi ve veritabanı yapısının sofistike bir şekilde anlaşılmasını gösterir.
Gerçek dünya sömürü kampanyaları
Güvenlik araştırmacıları, tipik PBX kötüye kullanım senaryolarının ötesine geçen aktif sömürü girişimleri gözlemlediler.
Geleneksel PBX saldırıları yetkisiz telefon görüşmeleri, arayan kimlik sahtekarlığı veya ücretli sahtekarlığa odaklanırken, bu sofistike saldırılar tam sistem uzlaşmasını amaçlamaktadır.
Gözlenen saldırı yükleri, temel sunucuda uzaktan komut yürütme özellikleri sağlayan PHP Web kabukları oluşturur.
Temsili bir saldırı, teşhis komutları içeren Base64 kodlu bir PHP dosyası ve CVE tanımlayıcıyı gösteren bir kavram kanıtı başlığı oluşturur.
Kötü niyetli dosya, kendi kendine aşınma mekanizması içerir ve gibi sistem komutlarını yürütür uname -a sistem bilgilerini toplamak için. İlginç bir şekilde, CRON iş kalıcılığı mekanizması, planlanan görev her dakika yükü yeniden yarattığı için dosyanın kendi kendine israfını biraz gereksiz hale getiriyor.
Güvenlik açığı, geleneksel PBX sömürüsünün çok ötesine uzanan ciddi güvenlik riskleri oluşturmaktadır. Savunmasız FreePBX örnekleri yürüten kuruluşlar, potansiyel veri ihlalleri, sistem uzlaşması ve tüm telekomünikasyon altyapılarına yetkisiz erişimle karşı karşıyadır.
Saldırganlar, arka kapı hesapları oluşturmak, çağrı yönlendirme kurallarını değiştirmek, çağrı detay kayıtlarına erişmek ve potansiyel olarak diğer ağ kaynaklarına döndürmek için veritabanı değişiklik özelliklerinden yararlanabilir.
Veritabanı manipülasyon yetenekleri, saldırganların sistem yeniden başlatmalarına devam eden kötü niyetli cron işleri eklemelerini, algılama ve iyileştirmeyi zorlaştırmasını sağlar.
Ayrıca, web arayüzü aracılığıyla keyfi PHP kodu yürütme yeteneği, saldırganlara FreepBX sistemi ve potansiyel olarak temel Linux sunucusu üzerinde kapsamlı bir kontrol sağlar.
Kuruluşlar, ücretli sahtekarlık veya yetkisiz uluslararası çağrı belirtileri için çağrı detay kayıtlarını ve telefon faturalarını derhal gözden geçirmelidir.
Hafifletme
Freepbx geliştirme ekibi Sangoma, 28 Ağustos 2025’te güvenlik yamaları yayınladı ve desteklenen tüm sürümlerde güvenlik açığını ele aldı.
Kuruluşlar, standart modül güncelleme prosedürlerini kullanarak FreepBX kurulumlarını yönetici kontrol paneli veya komut satırı arabirimi aracılığıyla hemen güncellemelidir. Son nokta modülü güncellemeleri, 15, 16 ve 17 sürümleri için kararlı depolar aracılığıyla kullanılabilir.
Kuruluşlar, yama yapmanın ötesinde, idari erişimi kısıtlamak için ağ düzeyinde güvenlik kontrolleri uygulamalıdır.
Freepbx güvenlik duvarı modülü, yönetici paneli erişimini yalnızca güvenilir IP adresleriyle sınırlandıracak şekilde yapılandırılmalı ve kamu internet maruziyetini ortadan kaldırmalıdır.
Güvenlik ekipleri, şüpheli için apache günlüklerinin incelenmesi de dahil olmak üzere kapsamlı sistem denetimleri yapmalıdır modular.php talepler, gözden geçirme cron_jobs Yetkisiz girişler için veritabanı tablosu ve web kök dizininde kötü amaçlı dosyaların bulunmadığını doğrulama.
Uzlaşma kanıtı keşfeden kuruluşlar, temiz yedeklemelerden sistem restorasyonu, tüm hesaplar için şifre rotasyonu ve çağrı günlüklerinin ve faturalandırma kayıtlarının adli analizi de dahil olmak üzere kapsamlı olay müdahale prosedürlerini takip etmelidir.
Güvenlik açığının kamu açıklaması ve aktif sömürüsü, mevcut güvenlik yamalarının sürdürülmesinin ve telekomünikasyon altyapısı için derinlemesine savunma stratejilerinin uygulanmasının kritik önemini vurgulamaktadır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.