В популярной открытой платформе для управления телефонными станциями FreePBX обнаружена критическая уязвимость. Она позволяет удалённому злоумышленнику получить доступ к учётным записям пользователей без предварительной авторизации. Проблема заключается в использовании встроенных учётных данных, которые администраторы могли не изменить после настройки системы.
Уязвимость CVE-2026-46376
Уязвимость получила идентификатор CVE-2026-46376 и максимальную оценку в 9,1 балла по шкале CVSS v4. Она затрагивает модуль управления пользователями (userman) в панели управления пользователя (UCP - интерфейс для настройки учётных записей абонентов). По данным официального уведомления на платформе GitHub (репозиторий GHSA-m55x-h47x-v3gx), проблема возникла из-за того, что при первичной настройке шаблонов UCP в системе сохраняются стандартные пароли. Если администратор не заменит их после включения функции, любой внешний атакующий может воспользоваться этими учётными данными для несанкционированного входа.
Уязвимыми признаны две основные ветки FreePBX. Первая - версии 16 до релиза 16.0.45, вторая - версии 17 до релиза 17.0.7. Как сообщают разработчики, исправления уже выпущены, и пользователям настоятельно рекомендуется обновить модуль userman как можно скорее. Примечательно, что проблема была заложена в код ещё в 2021 году, то есть она оставалась необнаруженной почти четыре года. Это означает, что значительное количество развёрнутых систем, которые не прошли процедуру усиления защиты, всё ещё находятся под угрозой.
С точки зрения классификации, уязвимость относится к типу CWE-798 (использование встроенных учётных данных). Речь идёт о ситуации, когда приложение полагается на статические пароли, жёстко прописанные в коде или конфигурации. В данном случае такие данные появлялись в процессе создания так называемого универсального шаблона UCP. Этот шаблон был задуман как опциональное упрощение при развёртывании системы: администраторы могли быстро создать тестовые учётные записи без дополнительных действий. Однако после завершения настройки стандартные пароли не удалялись и не менялись автоматически. Более того, для эксплуатации уязвимости не требуется ни предварительная авторизация, ни активность пользователя - атакующему достаточно отправить сетевой запрос. Сложность атаки оценивается как низкая, что делает проблему особенно опасной для систем, доступных из интернета.
Исследователи безопасности предупреждают, что злоумышленники активно сканируют сеть в поисках устройств с неустановленными или стандартными паролями. Учитывая, что FreePBX широко применяется в небольших и средних компаниях для организации корпоративной телефонии, последствия могут быть серьёзными. Успешное использование уязвимости позволяет получить доступ к конфиденциальным данным пользователей: журналам звонков, личным настройкам, голосовой почте и другой информации, хранящейся в панели управления пользователя. Это нарушает как конфиденциальность, так и целостность данных. Кроме того, атакующий может изменить параметры учётных записей, что потенциально способно привести к перехвату звонков или финансовому мошенничеству.
Уязвимость была обнаружена исследователем под псевдонимом s0nnyWT. Он скоординировал свои действия с командой поддержки FreePBX, а исправление подготовила компания Sangoma, которая является основным разработчиком и держателем проекта. В официальном бюллетене безопасности подчёркивается, что устранение проблемы не требует сложных действий: достаточно обновить модуль userman до указанных версий. Если по каким-то причинам это невозможно, администраторам следует вручную сменить или рандомизировать все учётные данные, созданные через шаблон UCP.
Но обновление - не единственная рекомендованная мера. Эксперты советуют ограничить доступ к административной панели управления (ACP - интерфейс для настройки всей системы). Для этого стоит настроить VPN (виртуальную частную сеть) или использовать многофакторную аутентификацию (MFA - подтверждение входа через второй фактор, например одноразовый код). Дополнительную защиту может обеспечить аутентификация через протокол SAML (стандарт для обмена данными о пользователе между системами). Также следует настроить межсетевые экраны так, чтобы панели UCP и ACP были доступны только с доверенных IP-адресов или из зарегистрированных SIP-устройств (аппаратных или программных телефонов, работающих по протоколу установления сеансов). Встроенный файрвол FreePBX позволяет разрешить входящие соединения только от определённых адресов.
Специалисты по безопасности настоятельно рекомендуют провести аудит всех действующих инсталляций на предмет слабых или неизменённых паролей. Кроме того, стоит проанализировать системные журналы доступа на наличие подозрительных попыток входа. Даже если система уже обновлена, проверка логов может выявить признаки компрометации, произошедшей до установки исправления.
Для организаций, которые полагаются на FreePBX в корпоративной голосовой связи, эта уязвимость - серьёзный звонок. Её низкая сложность эксплуатации и удалённый вектор делают её привлекательной целью для массовых атак. Промедление с обновлением может привести к утечкам данных, финансовым потерям и репутационному ущербу. Поэтому приоритетом должно стать немедленное применение патча и пересмотр политики управления учётными данными. Как показывает этот инцидент, даже опциональные функции, упрощающие развёртывание, могут обернуться брешью в безопасности, если не уделять им должного внимания после настройки.
Ссылки
