- 20,141
- 44
- 8 Ноя 2022
Отчёт о новой опасной уязвимости в FreePBX.
Сangoma предупреждает: в FreePBX активно эксплуатируется уязвимость нулевого дня , затрагивающая инсталляции, у которых веб-интерфейс администратора (Administrator Control Panel, ACP) доступен из Интернета. Речь идёт об открытой IP-АТС FreePBX (над Asterisk), которую используют компании, колл-центры и провайдеры для управления внутренней связью, SIP-транками и маршрутизацией вызовов.
По данным команды безопасности FreePBX, атаки начались 21 августа. Под удар попадают в первую очередь версии 16 и 17 при двух условиях: установлен модуль Endpoint, а страница входа администратора открыта во внешнюю сеть. Производитель призывает немедленно ограничить доступ к ACP — минимум через модуль Firewall, разрешив подключение только с доверенных адресов.
Sangoma выложила «EDGE»-исправление модуля для тестирования; стандартный релиз безопасности обещан «в ближайшее время» (изначально заявлено — в течение 36 часов). Важно: этот быстрый патч защищает будущие установки, но не «лечит» уже скомпрометированные хосты. Часть пользователей сообщают, что при истёкшем контракте поддержки установить EDGE-обновление может не получиться — таким системам до выхода полного патча рекомендуют просто закрыть ACP снаружи.
Установка тестового исправления:
<pre> FreePBX 16/17: fwconsole ma downloadinstall endpoint --edge PBXAct 16: fwconsole ma downloadinstall endpoint --tag 16.0.88.19 PBXAct 17: fwconsole ma downloadinstall endpoint --tag 17.0.2.31 </pre> После публикации предупреждения в форуме FreePBX сразу появились отчёты о взломах. Один из клиентов сообщил о компрометации нескольких серверов, затронуты около 3000 SIP-внутренних номеров и 500 транков; доступ администраторов временно заблокирован, системы откатывают к состоянию «до атаки». Другие админы подтверждают, что злоумышленники через эксплойт выполняют любые команды с правами пользователя <code>asterisk</code>.
Технические детали уязвимости Sangoma пока не раскрывает, однако производитель и пострадавшие админы собрали индикаторы компрометации (IoC), по которым можно проверить инсталляцию:
Сangoma предупреждает: в FreePBX активно эксплуатируется уязвимость нулевого дня , затрагивающая инсталляции, у которых веб-интерфейс администратора (Administrator Control Panel, ACP) доступен из Интернета. Речь идёт об открытой IP-АТС FreePBX (над Asterisk), которую используют компании, колл-центры и провайдеры для управления внутренней связью, SIP-транками и маршрутизацией вызовов.
По данным команды безопасности FreePBX, атаки начались 21 августа. Под удар попадают в первую очередь версии 16 и 17 при двух условиях: установлен модуль Endpoint, а страница входа администратора открыта во внешнюю сеть. Производитель призывает немедленно ограничить доступ к ACP — минимум через модуль Firewall, разрешив подключение только с доверенных адресов.
Sangoma выложила «EDGE»-исправление модуля для тестирования; стандартный релиз безопасности обещан «в ближайшее время» (изначально заявлено — в течение 36 часов). Важно: этот быстрый патч защищает будущие установки, но не «лечит» уже скомпрометированные хосты. Часть пользователей сообщают, что при истёкшем контракте поддержки установить EDGE-обновление может не получиться — таким системам до выхода полного патча рекомендуют просто закрыть ACP снаружи.
Установка тестового исправления:
<pre> FreePBX 16/17: fwconsole ma downloadinstall endpoint --edge PBXAct 16: fwconsole ma downloadinstall endpoint --tag 16.0.88.19 PBXAct 17: fwconsole ma downloadinstall endpoint --tag 17.0.2.31 </pre> После публикации предупреждения в форуме FreePBX сразу появились отчёты о взломах. Один из клиентов сообщил о компрометации нескольких серверов, затронуты около 3000 SIP-внутренних номеров и 500 транков; доступ администраторов временно заблокирован, системы откатывают к состоянию «до атаки». Другие админы подтверждают, что злоумышленники через эксплойт выполняют любые команды с правами пользователя <code>asterisk</code>.
Технические детали уязвимости Sangoma пока не раскрывает, однако производитель и пострадавшие админы собрали индикаторы компрометации (IoC), по которым можно проверить инсталляцию:
- отсутствует или изменён конфигурационный файл <code>/etc/freepbx.conf</code>;
- на веб-корне есть скрипт оболочки <code>/var/www/html/.clean.sh</code> (считается загруженным атакующими);
- в логах Apache замечены подозрительные запросы к <code>modular.php</code>;
- в журналах Asterisk фиксируются нетипичные вызовы на добавочный 9998 с 21 августа;
- в таблице <code>ampusers</code> базы MariaDB/MySQL есть несанкционированные записи, в том числе подозрительная учётка с именем <code>ampuser</code> в крайнем левом столбце.
- Восстановить систему из резервной копии, сделанной до 21 августа.
- Развернуть «с нуля» и сразу поставить исправленные модули.
- Поменять все пароли и ключи: системные учётные записи, доступы к БД, SIP-логины/секреты.
- Проверить CDR/биллинговые записи на предмет злоупотреблений, особенно международного трафика.
- До установки финального патча закрыть ACP от внешнего доступа (фаервол/ВПН/allow-list).
- Источник новости
- www.securitylab.ru
