Системы корпоративной телефонии по всему миру оказались под угрозой из-за активно эксплуатируемой уязвимости в популярной платформе FreePBX. Уязвимость, получившая идентификатор CVE-2025-57819, позволяет злоумышленникам модифицировать базу данных и выполнять произвольный код на уязвимых системах.
Детали уязвимости
Проблема затрагивает все поддерживаемые версии этой открытой платформы для управления Asterisk VoIP-системами, включая FreePBX 15, 16 и 17. FreePBX представляет собой веб-интерфейс администратора для настройки и управления телефонией, используемый тысячами организаций по всему миру.
Технический анализ показал, что уязвимость типа SQL-инъекция существует в обработчике AJAX модуля endpoint, конкретно в параметре "brand" конечной точки /admin/ajax.php, где отсутствует надлежащая проверка входных данных. Злоумышленники используют эту уязвимость, создавая специально сформированные запросы, которые внедряют SQL-команды непосредственно в базу данных FreePBX.
Особую опасность представляет возможность манипуляции таблицей cron_jobs, которую FreePBX использует для управления запланированными задачами. Атакующие могут добавлять произвольные записи в эту таблицу, что позволяет им планировать автоматическое выполнение вредоносных команд и добиваться устойчивого выполнения кода на целевой системе.
Техника эксплуатации демонстрирует глубокое понимание внутренней архитектуры FreePBX и структуры базы данных. Исследователи безопасности отмечают, что наблюдаемые атаки выходят за рамки традиционных сценариев злоупотребления УАТС. Если классические атаки на телефонию обычно сосредоточены на несанкционированных звонках, подделке идентификатора вызывающего абонента или мошенничестве с междугородней связью, то эти сложные атаки направлены на полный компромета системы.
Наблюдаемые вредоносные нагрузки создают PHP-веб-оболочки, которые обеспечивают возможности удаленного выполнения команд на базовом сервере. Типичная атака создает файл PHP с кодировкой Base64, содержащий диагностические команды и заголовок, указывающий на идентификатор CVE. Вредоносный файл включает механизм самоудаления и выполняет системные команды, такие как uname -a, для сбора информации о системе. Примечательно, что механизм устойчивости через cron-задачи делает самоудаление файла несколько избыточным, поскольку запланированная задача воссоздает полезную нагрузку каждую минуту.
Уязвимость представляет серьезные риски безопасности, выходящие далеко за рамки традиционной эксплуатации УАТС. Организации, использующие уязвимые экземпляры FreePBX, сталкиваются с потенциальными утечками данных, компрометацией систем и несанкционированным доступом ко всей своей телекоммуникационной инфраструктуре. Злоумышленники могут использовать возможности модификации базы данных для создания учетных записей бэкдоров, изменения правил маршрутизации вызовов, доступа к детальным записям звонков и потенциального перехода к другим сетевым ресурсам.
Возможности манипуляции базой данных позволяют атакующим вставлять вредоносные cron-задачи, которые сохраняются после перезагрузки системы, что затрудняет обнаружение и устранение последствий. Кроме того, возможность выполнения произвольного PHP-кода через веб-интерфейс предоставляет злоумышленникам extensive контроль над системой FreePBX и потенциально над базовым сервером Linux.
Sangoma, команда разработчиков FreePBX, выпустила исправления безопасности 28 августа 2025 года, устраняющие уязвимость во всех поддерживаемых версиях. Организации должны немедленно обновить свои установки FreePBX, используя стандартные процедуры обновления модулей через панель управления администратора или интерфейс командной строки. Обновления модуля endpoint доступны через стабильные репозитории для версий 15, 16 и 17.
Помимо установки исправлений, организациям следует реализовать средства управления безопасностью на сетевом уровне для ограничения административного доступа. Модуль брандмауэра FreePBX должен быть настроен для ограничения доступа к панели администратора только доверенным IP-адресам, исключая публичное воздействие из интернета.
Специалистам по безопасности рекомендуется провести тщательный аудит систем, включая проверку журналов Apache на предмет подозрительных запросов к modular.php, анализ таблицы cron_jobs базы данных на наличие несанкционированных записей и проверку отсутствия вредоносных файлов в корневом каталоге веб-сервера. Организациям, обнаружившим признаки компрометации, следует соблюдать комплексные процедуры реагирования на инциденты, включая восстановление системы из чистых резервных копий, смену паролей для всех учетных записей и судебный анализ журналов вызовов и биллинговых записей.
Публичное раскрытие информации об уязвимости и ее активная эксплуатация подчеркивают критическую важность поддержания актуальных исправлений безопасности и реализации стратегий защиты в глубину для телекоммуникационной инфраструктуры. Организациям следует немедленно проверить свои счета за телефонную связь на предмет признаков мошенничества с междугородней связью или несанкционированных международных вызовов, поскольку традиционные признаки компрометации телефонии могут стать первыми индикаторами серьезной атаки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-57819
- https://github.com/FreePBX/security-reporting/security/advisories/GHSA-m42g-xg4c-5f3h
- https://community.freepbx.org/t/security-advisory-please-lock-down-your-administrator-access/107203
