Sangoma Freepbx güvenlik ekibi, kamu internetine maruz kalan bir Yönetici Kontrol Paneli (ACP) ile sistemleri etkileyen aktif olarak sömürülen Freepbx sıfır günü güvenlik açığı hakkında bir danışma uyarısı yayınladı.
Freepbx, ses iletişimlerini yönetmek için işletmeler, çağrı merkezleri ve servis sağlayıcılar tarafından yaygın olarak kullanılan açık kaynaklı özel şube değişimi (PBX) platformudur. Açık kaynaklı bir iletişim sunucusu olan Asterisk’in üzerine inşa edilmiştir.
Güvenlik Açığı, CVE tanımlayıcısını atadı CVE-2025-57819maksimum ciddiyeti gösteren 10.0 CVSS skoru taşır.
Proje koruyucuları bir danışma şirketi, “Yeterli bir şekilde sterilize edilmiş kullanıcı tarafından sağlanan veriler, FreepBX yöneticisine kime doğrulanmamış erişim sağlar, bu da keyfi veritabanı manipülasyonuna ve uzaktan kod yürütülmesine yol açar.” Dedi.
Sorun aşağıdaki sürümleri etkiler –
- Freepbx 15 15.0.66’dan önce
- Freepbx 16 16.0.89’dan önce ve
- Freepbx 17 17.0.3’ten önce
Sangoma, yetkisiz bir kullanıcının 21 Ağustos 2025’te veya daha önce internete bağlı birden fazla Freepbx sürüm 16 ve 17 sistemine, özellikle de yetersiz IP filtreleme veya erişim kontrol listelerine (ACL’ler) sahip olanlara, ticari “son nokta” modülüne kullanıcı tarafından sağlanan girdilerin işlenmesinde dezenfektan bir sorundan yararlanarak erişmeye başladığını söyledi.
Bu yöntem kullanılarak elde edilen ilk erişim, daha sonra hedef ana bilgisayarlarda kök seviyesi erişim elde etmek için diğer adımlarla birleştirildi.
Aktif sömürü ışığında, kullanıcıların FreepBX’in en son desteklenen sürümlerine yükseltmeleri ve yönetici kontrol paneline halka açık erişimleri kısıtlamaları önerilir. Kullanıcılara ayrıca aşağıdaki uzlaşma göstergeleri (IOCS) için ortamlarını taramaları tavsiye edilir –
- “/Etc/freepbx.conf” dosyası yakın zamanda değiştirildi veya eksik
- “/Var/www/html/.clean.sh” dosyasının varlığı (bu dosya normal sistemlerde bulunmamalıdır)
- Apache Web Server günlüklerinde “Modular.php” adlı şüpheli yayın istekleri en az 21 Ağustos 2025’e kadar uzanan
- Asterisk çağrı günlüklerinde ve CDR’lerde 9998 uzantısına yerleştirilen telefon görüşmeleri olağandışıdır (daha önce yapılandırılmadıkça)
- Ampusers veritabanı tablosundaki şüpheli “ampuser” kullanıcısı veya diğer bilinmeyen kullanıcılar
WatchTowr CEO’su Benjamin Harris, Hacker News ile paylaşılan bir açıklamada, “Freepbx’in vahşi doğada aktif olarak kullanıldığını görüyoruz, 21 Ağustos’a kadar uzanan aktivite izliyor ve backdoors-compromise sonrası düşüyor.” Dedi.
“Erken olsa da, Freepbx (ve diğer PBX platformları) uzun zamandır fidye yazılımı çeteleri, başlangıç erişim brokerleri ve premium faturalandırmayı kötüye kullanan sahtekarlık grupları için favori bir avlanma alanı olmuştur. Freepbx’i bir uç nokta modülü ile kullanırsanız, uzlaşma varsayalım. Don -Connect Systems.