Администраторам систем FreePBX по всему миру рекомендовано немедленно отключить публичный доступ к своим серверам после обнаружения критической уязвимости нулевого дня в коммерческом модуле Endpoint Manager. Команда безопасности Sangoma FreePBX подтвердила, что злоумышленники могут получить возможность удалённого выполнения кода без аутентификации на системах с открытой панелью администратора.
Серверы FreePBX подверглись атаке с использованием уязвимости «нулевого дня»
Уязвимость затрагивает FreePBX версий 16 и 17 при установленном модуле Endpoint, доступном через порты 80 или 443. Успешная эксплуатация уязвимости приводит к повышению привилегий и выполнению произвольных команд от имени пользователя веб-сервера. Это позволяет злоумышленникам развертывать скрипты очистки, устанавливать постоянные бэкдоры и извлекать записи детализации вызовов.
Хотя публичной атрибуции атак пока не последовало, сообщества администраторов сообщают о первых случаях компрометации, начиная с 21 августа. Операторы начали замечать сбои веб-интерфейса и аномальные POST-запросы к modular.php в логах Apache.
В первоначальном рекомендательном бюллетене команда безопасности Sangoma сообщила о ожидаемом выпуске стабильного исправления в течение 36 часов и предоставила обновление через EDGE-канал для немедленного тестирования. Пользователям FreePBX v16 рекомендуется выполнить команду "fwconsole ma downloadinstall endpoint -tag 16.0.88.19", а администраторам v17 следует использовать "fwconsole ma downloadinstall endpoint -tag 17.0.2.31".
Операторам рекомендуется проверить свои системы на признаки компрометации, включая наличие вредоносного файла ".clean.sh" в /var/www/html, проверку целостности /etc/freepbx.conf и анализ логов веб-сервера на предмет POST-запросов к modular.php, начиная с 21 августа. Также следует проверить логи Asterisk на вызовы к внутреннему номеру 9998 и логи MariaDB на неожиданные записи в ampuser.
При обнаружении признаков взлома администраторам рекомендуется создать полный forensic-снимок системы или выполнить восстановление из известной чистой резервной копии, созданной до предполагаемого момента компрометации.
Немедленные меры по сдерживанию угрозы включают ограничение доступа к панели администратора доверенными IP-адресами через модуль брандмауэра FreePBX, а ещё лучше - размещение АТС за VPN или в изолированной управляющей VLAN.
Операторам, не использующим модуль Endpoint Manager, можно считать свои системы менее уязвимыми, но им всё равно следует провести аудит доступности и убедиться в отсутствии неавторизованных активных модулей.
Помимо мер сдерживания, команда Sangoma рекомендует выполнить полную процедуру восстановления: сохранить резервные копии до атаки на автономные носители, развернуть новый экземпляр FreePBX с обновлёнными модулями и восстановить конфигурацию на новом хосте. Все учётные данные - от SIP-транков до PIN-кодов голосовой почты - должны быть заменены.
Организациям, не имеющим свежих резервных копий, может временно подойти очистка системы для поддержания службы, но полная переустановка настоятельно рекомендуется. Поскольку комплексный выпуск безопасности ожидается в ближайшее время, администраторам следует prioritizеровать (отдать приоритет) запрету доступа из интернета и применению исправления модуля endpoint сразу после выхода из стадии EDGE-тестирования.
Команда безопасности Sangoma FreePBX продолжает мониторинг инцидента и опубликует официальный идентификатор CVE и заключение по расследованию после завершения анализа произошедшего.
