В середине сентября 2025 года в Банке данных угроз безопасности информации (BDU) были зарегистрированы две серьезные уязвимости в популярной платформе для IP-телефонии FreePBX. Обе ошибки, получившие идентификаторы CVE-2025-59056 и CVE-2025-55211, оцениваются как высокоопасные и позволяют удаленному злоумышленнику выполнить произвольный код на целевой системе. Эксперты по безопасности настоятельно рекомендуют администраторам немедленно обновить свои развертывания FreePBX до последних версий.
Детали уязвимостей
Первая уязвимость, CVE-2025-59056, классифицируется как обход пути (Path Traversal, CWE-22). Эта проблема затрагивает веб-интерфейс управления FreePBX. Ошибка связана с неправильным ограничением имени пути к каталогу с ограниченным доступом. В результате атакующий, имеющий возможность отправлять запросы к веб-интерфейсу, может манипулировать путями к файлам для доступа к защищенным директориям. В конечном счете, это может привести к выполнению произвольных команд на сервере. Уязвимость присутствует в версиях FreePBX до 15.0.38, до 16.0.41 и до 17.0.21.
Вторая уязвимость, CVE-2025-55211, представляет собой инъекцию команд операционной системы (OS Command Injection, CWE-78). Она возникает из-за непринятия мер по нейтрализации специальных элементов в пользовательском вводе. Следовательно, аутентифицированный злоумышленник может внедрить и выполнить произвольные команды ОС через веб-интерфейс. Эта ошибка затрагивает более узкий диапазон версий: от 17.0.19.11 до 17.0.21. Обе уязвимости требуют наличия у атакующего учетных данных для входа в систему, что несколько снижает риск массовых атак, но делает их крайне опасными для целевых инцидентов.
Системы оценки CVSS присвоили этим уязвимостям высокие баллы. Например, по шкале CVSS 3.1 базовый показатель для обеих составляет 8.8 из 10. Это указывает на критичность угрозы для конфиденциальности, целостности и доступности затронутых систем. Более свежая метрика CVSS 4.0 оценивает риски как средние, однако специалисты подчеркивают, что даже такая оценка не отменяет необходимости срочного исправления. Уязвимости позволяют получить полный контроль над сервером телефонии, что открывает путь для прослушивания звонков, кражи данных, а также использования системы в качестве плацдарма для дальнейших атак внутри корпоративной сети.
Производитель платформы, компания Sangoma Technologies Inc., уже подтвердил наличие этих недостатков безопасности. Более того, разработчики оперативно выпустили исправления. Уязвимость CVE-2025-59056 устранена в версиях 15.0.38, 16.0.41 и 17.0.21. Уязвимость CVE-2025-55211 была исправлена в версии 17.0.21. Таким образом, для полной защиты необходимо обновить FreePBX до актуальных выпусков. Все подробности и рекомендации опубликованы в официальных бюллетенях безопасности на GitHub проекта.
Эксплуатация подобных уязвимостей в системах телефонии представляет особую ценность для киберпреступников. Получив контроль над FreePBX, злоумышленники могут организовать фишинг через VoIP, перенаправлять звонки или использовать ресурсы сервера для скрытой майнинговой деятельности. В более сложных сценариях, например, в рамках кампаний целевых групп APT (Advanced Persistent Threat, устойчивая продвинутая угроза), уязвимость может стать первым шагом для проникновения в инфраструктуру организации и установки вредоносного ПО с функцией persistence (устойчивости), обеспечивающего долгосрочное присутствие.
На текущий момент информация о наличии публичных эксплойтов (exploit) для данных уязвимостей уточняется. Однако история показывает, что детализация ошибок в открытых источниках часто приводит к появлению работающих методов атаки в короткие сроки. Поэтому окно для безопасного обновления может быть крайне ограниченным. Администраторам следует не только применить патчи, но и проверить логи своих систем на предмет возможных признаков компрометации.
В заключение, обнаруженные уязвимости в FreePBX служат важным напоминанием о необходимости регулярного и своевременного обновления критически важных бизнес-систем, к которым, безусловно, относится и корпоративная телефония. Проактивное управление исправлениями остается одним из наиболее эффективных элементов стратегии кибербезопасности, позволяя нейтрализовать угрозы до их активного использования в дикой природе.
Ссылки
- https://bdu.fstec.ru/vul/2025-16261
- https://bdu.fstec.ru/vul/2025-16263
- https://www.cve.org/CVERecord?id=CVE-2025-55211
- https://www.cve.org/CVERecord?id=CVE-2025-59056
- https://github.com/FreePBX/security-reporting/security/advisories/GHSA-xg83-m6q5-q24h
- https://github.com/FreePBX/security-reporting/security/advisories/GHSA-frc2-jhgg-rwpr
- https://github.com/FreePBX/framework/blame/release/17.0/amp_conf/htdocs/admin/ajax.php#L18
