Os administradores da FreePBX em todo o mundo foram solicitados a desativar imediatamente o acesso público à Internet a seus sistemas depois que uma vulnerabilidade crítica de 0 dias foi descoberta no módulo de gerente de terminais comerciais.
A equipe de segurança Sangoma Freepbx confirmado Esse código de exploração controlado pelo atacante pode obter a execução de código remoto não autenticado em sistemas com o painel de controle do administrador exposto a redes hostis, provocando um aviso urgente em 26 de agosto e uma atualização de acompanhamento na noite passada, pedindo medidas contínuas de bloqueio.
De acordo com Sangoma, a vulnerabilidade afeta as versões FreePBX 16 e 17 quando o módulo de endpoint é instalado e acessível pelas portas 80 ou 443.
A exploração leva à escalada de privilégios e execução de comando remoto sob o servidor da web Usuário, permitindo que os atores de ameaças implantem scripts de limpeza, instalem backdoors persistentes e exfileme os registros de detalhes da chamada.
Embora não tenha surgido uma atribuição pública generalizada, os relatórios da comunidade indicam que os compromissos iniciais começaram em 21 de agosto, com os operadores primeiro percebendo falhas na interface da web e solicitações anômalas de postagem do Apache direcionando o modular.php.
Em seu aviso inicial, a equipe de segurança detalhou a implantação esperada de uma correção estável dentro de 36 horas e forneceu uma atualização de canal de ponta para testes imediatos.
Os usuários do FreePBX no V16 podem executar “FWCONSOLE MA Download Endpoint –TAG 16.0.88.19”, enquanto os administradores do V17 devem usar “FWCONSOLE MA DownloadInstall Endpoint –TAG 17.0.2.31”.
Aqueles pré-liberações de borda ainda em execução são aconselhados a confirmar as versões do módulo através do menu Admin → Module Admin quando a liberação estável for publicada. Os aparelhos PBXACT seguem os mesmos comandos de atualização.
Os operadores são instruídos a inspecionar seus sistemas quanto aos indicadores de compromisso, verificando a presença do arquivo malicioso “.clean.sh” em/var/www/html, verificando a integridade de /etc/freepbx.conf e pesquisando logs do servidor da web para solicitações de postagem para o modular.php de volta a 21 de agosto.
Os registros de asterisco devem ser digitalizados em busca de chamadas para a extensão 9998 e os registros de mariadb revisados para obter entradas inesperadas do ampusuário.
Se algum desses sinais forem detectados, os administradores serão aconselhados a tirar um instantâneo forense completo ou reinstalar a partir de um namoro de backup limpo conhecido antes do suspeito de compromisso.
As medidas imediatas de contenção incluem restringir o painel de controle do administrador aos endereços IP confiáveis por meio do módulo FreepBX Firewall, ou melhor ainda, colocando o PBX atrás de uma VPN ou VLAN de gerenciamento isolado.
Operadores sem o Gerenciador de terminais A instalação pode considerar seus sistemas com menor risco, mas ainda deve auditar a exposição e confirmar que não há módulos não autorizados estão ativos.
Além da contenção, a equipe de Sangoma recomenda um procedimento completo de restauração: preservando backups pré-ataques para mídia offline, implantando uma nova instância do FreePBX com módulos atualizados e restaurando a configuração para o novo host.
Todas as credenciais – desde troncos de gole a pinos de correio de voz – devem ser girados. Para organizações sem backups recentes, a limpeza temporária pode ser suficiente para manter o serviço, mas uma reinstalação completa é fortemente preferida.
Com uma liberação abrangente de segurança esperada iminentemente, os administradores devem priorizar o bloqueio de acesso à Internet e a aplicação do patch do módulo de terminal assim que sair do teste de borda.
A equipe de segurança Sangoma FreepBX continua monitorando o incidente e publicará um CVE formal e post-mortem assim que a investigação terminar.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!