Sangoma Freepbx Güvenlik Ekibi, Sistemleri Yönetici Kontrol Paneli (ACP) ile etkileyen aktif olarak sömürülen Freepbx sıfır gün güvenlik açığı hakkında uyarıyor.
Freepbx, yıldız işaretinin üzerine inşa edilmiş, işletmeler, çağrı merkezleri ve hizmet sağlayıcılar tarafından sesli iletişim, uzantılar, yudum gövdeleri ve çağrı yönlendirmesini yönetmek için yaygın olarak kullanılan açık kaynaklı bir PBX (özel şube değişimi) platformudur.
Freepbx forumlarına gönderilen bir danışmanlıkta, Sangoma Freepbx güvenlik ekibi 21 Ağustos’tan bu yana, bilgisayar korsanlarının maruz kalan Freepbx yönetici kontrol panellerinde sıfır gün güvenlik açığından yararlandığı konusunda uyardı.
Forum Post’u, “Sangoma FreepBX Güvenlik Ekibi, kamuya açık internete maruz kalan yönetici kontrol paneliyle bazı sistemleri etkileyen potansiyel bir istismarın farkında ve önümüzdeki 36 saat içinde beklenen dağıtım ile bir düzeltme üzerinde çalışıyoruz.”
“Kullanıcılara, yalnızca bilinen güvenilir ana bilgisayarlara erişimi sınırlamak için güvenlik duvarı modülünü kullanarak FreePBX yöneticisine erişimi sınırlamaları tavsiye edilir.”
Ekip, bugün daha sonra planlanan standart bir güvenlik sürümü ile test için bir Edge modül düzeltmesi yayınladı.
Sangoma’dan Chris Maj, “Sağlanan kenar modülü düzeltmesi gelecekteki tesisleri enfeksiyondan korumalı, ancak mevcut sistemler için bir tedavi değil.”
“Mevcut 16 ve 17 sistem etkilenmiş olabilir, eğer a) uç nokta modülü takılmıştı Ve b) Freepbx Yönetici Oturum Açma Sayfaları doğrudan düşmanca bir ağa maruz kaldı, örneğin genel İnternet. “
Kenar sürümünü test etmek isteyen yöneticiler aşağıdaki komutları kullanarak yükleyebilir:
V16 veya V17’deki Freepbx kullanıcıları çalışabilir:
$ fwconsole ma downloadinstall endpoint --edge
PBXACT V16 kullanıcıları çalışabilir:
$ fwconsole ma downloadinstall endpoint --tag 16.0.88.19
PBXACT V17 kullanıcıları çalışabilir:
$ fwconsole ma downloadinstall endpoint --tag 17.0.2.31
Ancak, bazı kullanıcılar şimdi süresi dolmuş bir destek sözleşmeniz varsa, cihazınızı korumasız bırakarak Edge güncellemesini yükleyemeyeceğiniz konusunda uyardı.
Kenar modülünü yükleyemiyorsanız, bu gece tam güvenlik güncellemesi yayınlanana kadar ACP’nize erişimi engellemelisiniz.
Sunucuları ihlal etmek için aktif olarak sömürülen kusur
Sangoma danışmanlığı yayınladığından beri, çok sayıda FreePBX müşterisi, sunucularının bu istismar yoluyla ihlal edildiğini belirten öne çıktı.
Forumlara gönderilen bir müşteri, “Altyapımızdaki birden fazla sunucunun tehlikeye atıldığını ve yaklaşık 3.000 SIP uzantısını ve 500 sandıkları etkilediğini bildiriyoruz.”
“Olay yanıtımızın bir parçası olarak, tüm yönetici erişimini kilitledik ve sistemlerimizi bir saldırı öncesi duruma geri yükledik. Ancak, uzlaşmanın kapsamını belirlemenin kritik önemini vurgulamalıyız.”
Reddit’e gönderilen başka bir kullanıcı, “Evet, kişisel PBX’in yönetilmesine yardımcı olduğumun yanı sıra etkilendiğim bir şeyden etkilendi. Temel olarak saldırganın yıldız işareti kullanıcının izin verdiği herhangi bir komutu çalıştırmasına izin veriyor.”
Sangoma, sömürülen güvenlik açığı ile ilgili herhangi bir ayrıntı paylaşmasa da, şirket ve müşterileri bir sunucunun kullanılmadığını belirlemek için kontrol edilebilecek uzlaşma göstergelerini paylaştılar.
Bu IOC’ler şunları içerir:
- Eksik veya değiştirilmiş /etc/freepbx.conf yapılandırma dosyası.
- Varlığı /var/www/html/.clean.sh kabuk betiği. Bunun saldırganlar tarafından yüklendiğine inanılıyor.
- Şüpheli Apache günlük girişleri modüler.php.
- Uzatmaya alışılmadık çağrılar 9998 Yıldız işaretinde 21 Ağustos’a kadar.
- Ampusers Mariadb/MySQL tablosuna yetkisiz girişler, özellikle şüpheli bir arıyor “ampuser“En sol sütunda kullanıcı adı.
Bir sunucunun tehlikeye atıldığı tespit edilirse, Sangoma 21 Ağustos’tan önce oluşturulan yedeklemelerden geri yüklenmenizi, yamalı modüllerin taze sistemlere dağıtılmasını ve tüm sistem ve SIP ile ilgili kimlik bilgilerini döndürmeyi önerir.
Yöneticiler ayrıca, özellikle yetkisiz uluslararası trafik olmak üzere, istismar belirtileri için çağrı kayıtlarını ve telefon faturalarını gözden geçirmelidir.
Maruz kalan FreePBX ACP arayüzleri olanlar zaten tehlikeye atılabilir ve şirket yöneticileri bir düzeltme uygulanana kadar kurulumlarını ve güvenli sistemleri araştırmaya çağırır.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.