В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярную платформу для IP-телефонии FreePBX. Уязвимость, получившая идентификаторы BDU:2025-15989 и CVE-2025-66039, связана с фундаментальными недостатками механизма аутентификации в модуле Endpoint Manager веб-интерфейса управления. Эксплуатация данной уязвимости позволяет удаленному злоумышленнику без каких-либо учетных данных получить полный контроль над системой.
Детали уязвимости
Уязвимость классифицируется как "Неправильная аутентификация" (CWE-287) и относится к классу архитектурных. Она затрагивает все версии FreePBX ниже 16.0.44 для ветки 16 и ниже 17.0.23 для ветки 17. Производитель, компания Sangoma Technologies Inc., уже подтвердил наличие проблемы и выпустил исправления. Уровень опасности оценен как критический по всем основным версиям системы оценки CVSS. Например, базовая оценка по CVSS 3.1 составляет 9.8 баллов из 10. Такая высокая оценка обусловлена тем, что для атаки не требуется ни аутентификации (PR:N), ни взаимодействия с пользователем (UI:N), а последствия включают полную компрометацию конфиденциальности, целостности и доступности системы (C:H/I:H/A:H).
Главная угроза заключается в том, что злоумышленник, эксплуатирующий эту уязвимость, может получить несанкционированный доступ к веб-интерфейсу администратора FreePBX. Следовательно, это открывает путь для полного управления телефонией, перехвата звонков, изменения маршрутизации или установки вредоносного программного обеспечения (malware). В дальнейшем атакующий может использовать скомпрометированную систему как плацдарм для движения по корпоративной сети. Более того, уязвимость создает идеальные условия для развертывания программ-вымогателей (ransomware), которые могут заблокировать всю корпоративную связь.
Основным и самым эффективным способом устранения угрозы является немедленное обновление программного обеспечения. Администраторам необходимо обновить FreePBX до версии 16.0.44 или выше, если используется ветка 16, либо до версии 17.0.23 и выше для ветки 17. Обновления следует загружать только с официальных и доверенных источников. Впрочем, в текущих геополитических условиях компаниям рекомендуется проводить дополнительную оценку рисков перед установкой любых обновлений от зарубежных вендоров.
Если немедленное обновление невозможно, эксперты рекомендуют внедрить ряд компенсирующих мер. Во-первых, можно активировать и настроить встроенный модуль User Manager для организации строгой аутентификации при доступе к интерфейсу управления. Во-вторых, критически важно ограничить сетевой доступ к веб-интерфейсу FreePBX, используя сегментацию сети и межсетевые экраны. Доступ из интернета должен быть полностью запрещен, а для администрирования следует использовать защищенные каналы, например, виртуальные частные сети (VPN).
Кроме того, для обнаружения потенциальных атак полезно задействовать веб-брандмауэр (WAF) для фильтрации подозрительного трафика. Параллельно мониторинг событий безопасности с помощью SIEM-систем (Security Information and Event Management) поможет выявить аномальные попытки входа или изменения в настройках аутентификации. Таким образом, даже если злоумышленник попытается воспользоваться уязвимостью, его деятельность может быть быстро обнаружена.
На данный момент информация о наличии публичных эксплойтов (exploit), активно используемых в дикой природе, уточняется. Однако высокая степень опасности и простота эксплуатации, на которую указывают максимальные оценки CVSS, делают эту уязвимость крайне привлекательной для киберпреступников и групп APT. Поэтому задержки с установкой патчей недопустимы. Фактически, каждый день работы на уязвимой версии FreePBX значительно повышает риск масштабного инцидента информационной безопасности.
Подводя итог, уязвимость в модуле Endpoint Manager FreePBX представляет собой серьезную угрозу для безопасности корпоративной телефонии. Ее критичность обусловлена отсутствием необходимости в аутентификации для удаленной атаки. Следовательно, администраторам и специалистам по кибербезопасности необходимо в приоритетном порядке проверить используемые версии и применить исправления или комплекс компенсирующих мер. Игнорирование данного предупреждения может привести к полному захвату системы IP-телефонии злоумышленниками с катастрофическими последствиями для бизнеса.
Ссылки
- https://bdu.fstec.ru/vul/2025-15989
- https://www.cve.org/CVERecord?id=CVE-2025-66039
- https://github.com/FreePBX/security-reporting/security/advisories/GHSA-9jvh-mv6x-w698
- https://github.com/FreePBX/framework/commit/04224253156543cd9932b90458660b2f19fc0e35#diff-72f14a52840a61504a8e03cd195035b44e488aecd634b001bc6412a04bdc940bR20-R50
- https://www.freepbx.org/watch-what-we-do-with-security-fixes-%f0%9f%91%80
