10 июня 2026 года разработчики системы IP-телефонии FreePBX выпустили бюллетень безопасности, в котором предупредили об уязвимости, затрагивающей модуль Music on Hold (MoH). Проблема получила идентификатор CVE-2026-45562 и оценку 7,6 балла по шкале CVSS 4.0 (уровень "высокий"). Уязвимость позволяет аутентифицированному злоумышленнику выполнять произвольные команды операционной системы с привилегиями сервиса Asterisk. Потенциальная атака может привести к полной компрометации сервера телефонии, краже учетных данных и нарушению работы голосовых сервисов.
Уязвимость CVE-2026-45562
Уязвимость присутствует в двух версиях модуля music для разных веток FreePBX: для FreePBX 16 - версии 16.0.4 и более ранние, для FreePBX 17 - версии 17.0.6 и более ранние. Исправления уже выпущены: модуль обновлен до версий 16.0.4 и 17.0.6 соответственно. Разработчики рекомендуют как можно скорее установить обновления, поскольку эксплуатация уязвимости не требует сложных действий.
Корневая причина кроется в отсутствии санитизации входных данных. Модуль MoH принимает POST-параметр, который определяет пользовательское приложение Asterisk. Этот параметр сохраняется в базе данных без какой-либо проверки, а затем без валидации записывается в конфигурационный файл musiconhold_additional.conf. Asterisk при запуске считывает этот файл и выполняет указанное приложение. В результате атакующий может внедрить вредоносную команду, которая будет исполнена от имени пользователя asterisk.
Важно отметить, что для эксплуатации необходим доступ к панели администратора FreePBX с действующей аутентификацией. Однако это не снижает серьезности угрозы: если злоумышленник получает учетные данные администратора (например, через фишинг, подбор пароля или утечку из другого сервиса), он может загрузить и выполнить произвольный код на сервере. Потенциальная атака может привести к установке программ-вымогателей (ransomware), краже баз данных с конфигурациями SIP-аккаунтов или использованию сервера для дальнейшего продвижения внутри сети организации.
Модуль MoH является одним из стандартных расширений FreePBX, отвечающих за воспроизведение музыки в режиме удержания звонка. Он широко используется в коммерческих и корпоративных телефонных станциях на базе Asterisk. Поэтому данная уязвимость представляет серьезную угрозу для многих организаций, особенно если панель администратора доступна из интернета без дополнительных средств защиты.
В бюллетене безопасности указано, что проблема была заложена еще в 2015 году, то есть присутствует в коде более десяти лет. Это означает, что потенциально скомпрометированы могут быть системы, которые давно не обновлялись. Разработчики отметили, что патч накладывает ограничения на список допустимых приложений, которые могут быть указаны в конфигурации MoH. Для абсолютного большинства пользователей это изменение не должно нарушить работу. Однако для тех организаций, которые используют кастомные приложения Asterisk в этом модуле, может потребоваться адаптация: либо форк модуля с собственным списком разрешенных приложений, либо ручная правка конфигурационных файлов.
Канадский центр кибербезопасности (Cyber Centre) уже выпустил рекомендацию изучить указанные разработчиками ссылки, установить обновления и выполнить предложенные меры защиты. В частности, помимо установки патча, рекомендуется проверить таблицу базы данных модуля music на предмет подозрительных записей в колонке application - это может свидетельствовать о том, что система уже подверглась атаке. Также следует ограничить доступ к панели администратора FreePBX: использовать только авторизованных пользователей, включить многофакторную аутентификацию (MFA) и настроить межсетевой экран (firewall) для блокировки доступа из недоверенных сетей.
Оценка по версии CVSS 4.0 показывает, что вектор атаки - сетевой, сложность низкая, а для эксплуатации требуются только низкие привилегии. Пользовательское взаимодействие не требуется. Влияние на конфиденциальность и целостность данных на уязвимой системе - высокое, однако доступность сервиса не затрагивается. Это делает уязвимость привлекательной для целенаправленных атак на инфраструктуру IP-телефонии.
Хотя официальных сообщений о массовой эксплуатации CVE-2026-45562 пока не поступало, высокая оценка и продолжительность существования проблемы дают основания полагать, что в ближайшее время могут появиться публичные эксплойты. Организациям, использующим FreePBX, настоятельно рекомендуется провести инвентаризацию версий модуля MoH и незамедлительно установить патч. Промедление может стоить безопасности всей телефонной сети.
Ссылки
