Агентство кибербезопасности и инфраструктурной безопасности США (CISA) внесло одну новую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Решение было принято на основании обнаруженных доказательств её активного использования злоумышленниками в реальных атаках. Добавленный идентификатор CVE-2025-57819 описывает критическую уязвимость обхода аутентификации в популярной IP-АТС Sangoma FreePBX.
Дктали уязвимости
FreePBX - это открытое веб-приложение с графическим интерфейсом для управления телефонными станциями. Уязвимость затрагивает версии 15, 16 и 17 и связана с недостаточной фильтрацией вводимых пользователем данных. Это позволяет получить несанкционированный доступ к панели администратора FreePBX, что может привести к произвольному изменению базы данных и удалённому выполнению кода. Проблема была устранена в версиях 15.0.66, 16.0.89 и 17.0.3.
Группа безопасности Sangoma FreePBX сообщила, что известно о потенциальной эксплуатации уязвимости на системах, где панель администратора доступна из публичного интернета. Разработчики выпустили исправление, которое уже развёрнуто в стабильных репозиториях для всех поддерживаемых версий. Пользователям рекомендуется немедленно обновить системы, используя стандартные методы через панель управления или командную строку.
CISA напоминает, что в соответствии с Директивой BOD 22-01 федеральные агентства обязаны устранять уязвимости из каталога KEV в установленные сроки. Хотя требования директивы распространяются только на государственные учреждения, CISA настоятельно рекомендует всем организациям своевременно применять исправления для снижения рисков кибератак.
Для проверки на возможное заражение рекомендуется выполнить ряд действий, включая анализ логов веб-сервера на предмет POST-запросов к modular.php, проверку вызовов на внутренний номер 9998 в журналах Asterisk, а также анализ таблиц базы данных на наличие неизвестных пользователей. При обнаружении признаков компрометации рекомендуется выполнить процедуру восстановления из резервной копии, созданной до 21 августа, и сменить все пароли.
Эксперты подчёркивают важность ограничения доступа к административным интерфейсам из публичных сетей и использования межсетевых экранов для минимизации рисков. Также рекомендуется проверить счета за телефонные услуги на предмет несанкционированных международных вызовов, которые могли быть инициированы злоумышленниками в случае компрометации системы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-57819
- https://github.com/FreePBX/security-reporting/security/advisories/GHSA-m42g-xg4c-5f3h
- https://community.freepbx.org/t/security-advisory-please-lock-down-your-administrator-access/107203
