Sangomaは、インターネットから管理者コントロールパネルにアクセス可能なFreePBXサーバーをハッキングするために悪用されたゼロデイ脆弱性に対する緊急パッチを公開しました。
CVE-2025-57819(CVSSスコア10/10)として追跡されているこのバグは、ユーザーから提供されたデータの不十分なサニタイズに起因すると説明されています。この脆弱性を悪用されると、攻撃者はFreePBXの管理者パネルにアクセスでき、データベースの操作やリモートコード実行(RCE)が可能になります。
Sangomaは、8月21日以前からこのセキュリティ欠陥が実際に悪用されていたことを発見した後、FreePBXバージョン15、16、17向けに修正をリリースしました。ハッキングされたサーバーは、IPフィルタリングやACLが不十分だったと、GitHubのアドバイザリで指摘されています。
「この初期の侵入経路は、その後いくつかのステップと連鎖して、最終的にターゲットシステムでrootレベルのアクセス権を得る可能性がありました」とアドバイザリには記載されています。
この問題は商用の「endpoint」モジュールで発見されました。ユーザーには、すべての管理者アクセスやFreePBXサーバーへのリモートインターネットアクセスを制限し、サーバーがファイアウォールで保護されていることを確認し、修正版へアップデートし、「endpoint」に推奨される修正が適用されているか確認するよう推奨されています。
「ユーザーは自動セキュリティアップデートが有効になっているか確認してください。現在、v17の“framework”モジュールにおいて自動アップデート通知メールが送信されない問題があることを認識しています」とSangomaは述べています。
Sangomaは、管理者が悪用の兆候を調査するための侵害指標(IOC)や、推奨される復旧手順も公開しています。
金曜日、米国サイバーセキュリティ庁(CISA)はCVE-2025-57819を既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に対してBOD 22-01に基づき9月19日までにパッチを適用するよう促しました。
広告。スクロールして続きをお読みください。
BOD 22-01は連邦機関のみに適用されますが、すべての組織に対してCISAのKEVリストを確認し、特定されたセキュリティ欠陥の緩和に必要な措置を講じることが推奨されています。
Sangoma FreePBXは、リアルタイムかつマルチプロトコルな通信アプリケーションのフレームワークであるAsteriskを管理するためのオープンソースインターフェースです。
関連記事: Appleユーザーを標的とした攻撃で悪用されたWhatsAppゼロデイ
関連記事: Citrix、悪用されたNetScalerゼロデイにパッチを提供
関連記事: 悪用されたGit脆弱性について組織に警告
翻訳元: https://www.securityweek.com/sangoma-patches-critical-zero-day-exploited-to-hack-freepbx-servers/