Команда безопасности Sangoma FreePBX предупреждает об активно эксплуатируемой уязвимости нулевого дня FreePBX, которая затрагивает системы, в которых панель управления администратора (ACP) открыта для доступа в Интернет.
FreePBX – это платформа PBX (Private Branch Exchange) с открытым исходным кодом, построенная на базе Asterisk, широко используемая предприятиями, call-центрами и поставщиками услуг для управления голосовыми коммуникациями, расширениями, SIP-транками и маршрутизацией вызовов.
В сообщении, опубликованном на форумах FreePBX, команда безопасности Sangoma FreePBX предупредила, что с 21 августа Хакеры используют уязвимость нулевого дня в открытых панелях управления FreePBX.
Команда Sangoma FreePBX Security Team знает о потенциальной уязвимости, затрагивающей некоторые системы с панелью управления администратора, открытые для публичного доступа в Интернет, и мы работаем над исправлением, которое ожидается в течение следующих 36 часов
- говорится в сообщении на форуме
Пользователям рекомендуется ограничить доступ к администратору FreePBX с помощью модуля Firewall, чтобы ограничить доступ только известными доверенными узлами
Команда выпустила исправление для модуля Edge для тестирования, а стандартный релиз безопасности запланирован на сегодня.
Представленное исправление модуля EDGE должно защитить будущие установки от заражения, но оно не является лекарством для существующих систем
- предупреждает Крис Мадж из Sangoma
Существующие системы 16 и 17 могут быть затронуты, если в них а) был установлен модуль конечной точки и б) страница входа администратора FreePBX была напрямую открыта для враждебной сети, например, публичного Интернета
Администраторы, желающие протестировать релиз EDGE, могут установить его с помощью следующих команд:
Пользователи FreePBX на v16 или v17 могут запустить:
fwconsole ma downloadinstall endpoint --edge
Пользователи PBXAct v16 могут запускать:
fwconsole ma downloadinstall endpoint --tag 16.0.88.19
Пользователи PBXAct v17 могут запускать:
fwconsole ma downloadinstall endpoint --tag 17.0.2.31
Однако некоторые пользователи предупреждают, что если у вас истек срок действия договора поддержки, вы не сможете установить обновление EDGE, оставив устройство незащищенным.
Если вы не можете установить модуль EDGE, вам следует заблокировать доступ к вашему ACP до тех пор, пока не выйдет полное обновление безопасности.
Дефект активно эксплуатируется для взлома серверов
После того как Sangoma опубликовала это сообщение, многие клиенты FreePBX заявили, что их серверы были взломаны с помощью этого эксплойта.
Мы сообщаем, что несколько серверов в нашей инфраструктуре были взломаны, что повлияло примерно на 3000 SIP-расширений и 500 транков
- написал один из клиентов на форумах
В рамках реагирования на инцидент мы заблокировали доступ всех администраторов и восстановили наши системы до состояния, предшествующего атаке. Тем не менее, мы должны подчеркнуть исключительную важность определения масштабов взлома
Хотя Sangoma не сообщила никаких подробностей об используемой уязвимости, компания и ее клиенты поделились индикаторами компрометации, которые можно проверить, чтобы определить, подвергся ли Сервер эксплуатации.
К таким индикаторам относятся:
- Отсутствующий или измененный файл конфигурации
/etc/freepbx.conf. - Наличие сценария оболочки
/var/www/html/.clean.sh. Предполагается, что он был загружен злоумышленниками. - Подозрительные записи в журнале Apache для modular.php.
- Необычные звонки на внутренний номер 9998 в журналах Asterisk еще 21 августа.
- Неавторизованные записи в таблице ampusers в MariaDB/MySQL, в частности, подозрительное имя пользователя «ampuser» в крайнем левом столбце.
Если установлено, что сервер взломан, Sangoma рекомендует восстановить его из резервных копий, созданных до 21 августа, развернуть исправленные модули на новых системах и заменить все учетные данные, связанные с системой и sip.
Администраторам также следует проверить записи звонков и телефонные счета на предмет признаков злоупотреблений, особенно несанкционированного международного трафика.
Пользователи FreePBX с открытыми интерфейсами ACP могут быть уже скомпрометированы, поэтому компания призывает администраторов проверить свои установки и защитить системы до тех пор, пока не будет найдено исправление.