Sangoma FreePBXセキュリティチームは、管理者コントロールパネル(ACP)がインターネットに公開されているシステムに影響を与える、現在悪用されているFreePBXのゼロデイ脆弱性について警告しています。
FreePBXはAsterisk上に構築されたオープンソースのPBX(構内交換機)プラットフォームで、企業やコールセンター、サービスプロバイダーが音声通信、内線、SIPトランク、通話ルーティングを管理するために広く利用されています。
FreePBXフォーラムに掲載されたアドバイザリで、Sangoma FreePBXセキュリティチームは、8月21日以降、公開されたFreePBX管理者コントロールパネルに対してゼロデイ脆弱性がハッカーにより悪用されていると警告しました。
「Sangoma FreePBXセキュリティチームは、管理者コントロールパネルがインターネット上に公開されている一部のシステムに影響を与える可能性のあるエクスプロイトを認識しており、現在修正に取り組んでいます。今後36時間以内に展開予定です」とフォーラム投稿には記載されています。
「ユーザーは、ファイアウォールモジュールを使用してFreePBX管理者へのアクセスを信頼できるホストのみに制限することを推奨します。」
チームはテスト用のEDGEモジュール修正をリリースしており、標準のセキュリティリリースは本日中に予定されています。
「提供されたEDGEモジュール修正は今後のインストールを感染から保護しますが、既存システムの治療にはなりません」とSangomaのChris Majは警告しています。
「既存の16および17システムは、a)エンドポイントモジュールがインストールされており、b)FreePBX管理者ログインページが公衆インターネットなどの敵対的なネットワークに直接公開されていた場合、影響を受けている可能性があります。」
EDGEリリースをテストしたい管理者は、以下のコマンドでインストールできます:
FreePBX v16またはv17のユーザーは以下を実行できます:
$ fwconsole ma downloadinstall endpoint --edgePBXAct v16のユーザーは以下を実行できます:
$ fwconsole ma downloadinstall endpoint --tag 16.0.88.19PBXAct v17のユーザーは以下を実行できます:
$ fwconsole ma downloadinstall endpoint --tag 17.0.2.31ただし、一部のユーザーからは、現在サポート契約が失効している場合、EDGEアップデートをインストールできず、デバイスが保護されない可能性があると警告されています。
EDGEモジュールをインストールできない場合は、今夜の完全なセキュリティアップデートがリリースされるまで、ACPへのアクセスをブロックする必要があります。
脆弱性が積極的に悪用されサーバーが侵害
Sangomaがアドバイザリを公開して以来、多くのFreePBXユーザーが、このエクスプロイトによって自分たちのサーバーが侵害されたと報告しています。
「当社インフラ内の複数のサーバーが侵害され、約3,000のSIP内線と500のトランクに影響が出ました」とある顧客がフォーラムに投稿しました。
「インシデント対応の一環として、すべての管理者アクセスをロックし、システムを攻撃前の状態に復元しました。ただし、侵害の範囲を特定することの重要性を強調しなければなりません。」
「私の個人用PBXも、私が管理を手伝っているものも影響を受けました。このエクスプロイトは、攻撃者がasteriskユーザーで許可されている任意のコマンドを実行できるようにするものです」と別のユーザーがRedditに投稿しています。
Sangomaは悪用された脆弱性の詳細を共有していませんが、同社および顧客は、サーバーが侵害されたかどうかを確認するための侵害の兆候(IOC)を共有しています。
これらのIOCには以下が含まれます:
- /etc/freepbx.conf設定ファイルが欠落または改ざんされている。
- /var/www/html/.clean.shシェルスクリプトの存在。これは攻撃者によってアップロードされたと考えられています。
- modular.phpに関する不審なApacheログエントリ。
- 8月21日以降のAsteriskログにおける内線9998への異常な発信。
- MariaDB/MySQLのampusersテーブルにおける不正なエントリ。特に最も左側のカラムに不審な「ampuser」ユーザー名がないか確認。
サーバーが侵害されていると判断された場合、Sangomaは8月21日以前に作成されたバックアップから復元し、パッチ済みモジュールを新規システムに導入し、すべてのシステムおよびSIP関連の認証情報を変更することを推奨しています。
管理者はまた、不正利用の兆候がないか通話記録や電話料金明細を確認するべきです。特に許可されていない国際通話に注意してください。
FreePBXのACPインターフェースが公開されている場合、すでに侵害されている可能性があり、同社は管理者に対し、インストール状況を調査し、修正が適用されるまでシステムを保護するよう強く求めています。
