2025年8月29日Ravie Lakshmananゼロデイ / 脆弱性
Sangoma FreePBXセキュリティチームは、管理者コントロールパネル(ACP)がインターネットに公開されているシステムに影響を与える、実際に悪用されているFreePBXのゼロデイ脆弱性について警告を発表しました。
FreePBXは、企業、コールセンター、サービスプロバイダーが音声通信を管理するために広く利用されているオープンソースの構内交換機(PBX)プラットフォームです。これは、オープンソースの通信サーバーであるAsteriskの上に構築されています。
この脆弱性にはCVE-2025-57819というCVE識別子が割り当てられており、CVSSスコアは10.0と、最大の深刻度を示しています。
「十分にサニタイズされていないユーザー入力データにより、認証されていないアクセスがFreePBX管理者に可能となり、任意のデータベース操作やリモートコード実行につながる」と、プロジェクト管理者はアドバイザリで述べています。
この問題は以下のバージョンに影響します:
- FreePBX 15(15.0.66未満)
- FreePBX 16(16.0.89未満)
- FreePBX 17(17.0.3未満)
Sangomaによると、2025年8月21日以前から、インターネットに接続された複数のFreePBXバージョン16および17のシステムに、認証されていないユーザーがアクセスを開始しており、特にIPフィルタリングやアクセス制御リスト(ACL)が不十分なシステムが、商用「エンドポイント」モジュールへのユーザー入力処理におけるサニタイズの問題を悪用されました。
この手法で得られた初期アクセスは、他の手順と組み合わされて、対象ホストでrootレベルのアクセス権を得る可能性があると付け加えています。
実際に悪用が発生していることから、ユーザーは最新のサポートされているFreePBXバージョンへのアップグレードと、管理者コントロールパネルへの公開アクセスの制限を推奨されています。また、以下の侵害の兆候(IoC)について環境をスキャンすることも推奨されています:
- 「/etc/freepbx.conf」ファイルが最近変更された、または存在しない
- 「/var/www/html/.clean.sh」ファイルの存在(このファイルは通常のシステムには存在しません)
- 2025年8月21日以降のApacheウェブサーバーログにおける「modular.php」への不審なPOSTリクエスト
- Asteriskの通話ログやCDRで内線9998への発信が記録されている(事前に設定されていない場合は異常)
- ampusersデータベーステーブルに不審な「ampuser」ユーザーや他の未知のユーザーが存在する
「私たちは、8月21日までさかのぼる活動の痕跡と、侵害後にバックドアが設置されていることから、FreePBXが実際に悪用されているのを確認しています」と、watchTowrのCEOであるBenjamin Harris氏はThe Hacker Newsに寄せた声明で述べています。
「まだ初期段階ですが、FreePBX(および他のPBXプラットフォーム)は長らくランサムウェア集団、初期アクセスブローカー、プレミアム課金を悪用する詐欺グループの格好の標的となっています。エンドポイントモジュールを使用している場合は、侵害されたと想定してください。直ちにシステムを切断してください。遅れるほど被害範囲が拡大します。」
翻訳元: https://thehackernews.com/2025/08/freepbx-servers-targeted-by-zero-day.html