Разработчики Sangoma Technologies сообщили об активной эксплуатации нулевого дня в FreePBX, популярной открытой платформе PBX на базе Asterisk, используемой бизнесом, контакт-центрами и провайдерами связи. Уязвимость CVE-2025-57819 получила максимально возможную оценку 10.0 по CVSS и затрагивает инстансы, где административная панель доступна из интернета.
Что произошло: эксплойт в административной панели FreePBX
Согласно команде безопасности Sangoma, начиная с 21 августа 2025 года злоумышленники атакуют публично доступные панели администрирования FreePBX. Корневой дефект связан с недостаточной очисткой пользовательских данных, что позволяет обойти аутентификацию администратора, манипулировать базой данных и привести к удаленному выполнению кода (RCE).
Кого затрагивает
Подтверждено, что эксплуатируются FreePBX 16 и 17, прежде всего инсталляции с открытой внешней админ-панелью. Sangoma выпустила экстренное обновление для модуля EDGE, затем оперативные патчи для затронутых компонентов. Пользователям настоятельно рекомендуется ограничить доступ к админке списком доверенных адресов.
Технические детали и возможные последствия
Комбинация несанитизированного ввода и логических ошибок в авторизации приводит к несанкционированному доступу к интерфейсу администратора. На практике это открывает путь к изменению конфигурации PBX, созданию или подмене учетных записей, модификации SIP‑транков и маршрутов, а в ряде сценариев — к выполнению произвольных команд от имени пользователя asterisk с последующей эскалацией привилегий до root.
Риски включают массовую компрометацию SIP‑расширений, toll fraud (мошеннические звонки), остановку сервисов телефонии, утечку CDR/логов вызовов и плацдарм для дальнейшего продвижения по сети. Для организаций с высокой зависимостью от голоса простои PBX напрямую конвертируются в финансовые и репутационные потери.
Доступные обновления и временные меры защиты
Sangoma заявила о скором развёртывании исправлений и уже выпустила экстренные обновления модулей. Рекомендуемые шаги:
1) Срочно обновиться до последних поддерживаемых версий FreePBX и соответствующих модулей. Проверяйте наличие патчей в интерфейсе Module Admin и применяйте их без задержки.
2) Ограничить доступ к административной панели: включить Firewall и использовать allowlist только для доверенных IP/сегментов, по возможности перенести доступ в VPN или закрыть внешнюю публикацию панели.
3) Укрепить периметр: промежуточная базовая аутентификация (HTTP auth), проксирование через обратный прокси, ограничение по GeoIP, мониторинг аномальной активности.
4) Минимизировать поверхность атаки: отключить ненужные модули, отключить гостевые/устаревшие учетные записи, применить принцип наименьших привилегий и регулярные бэкапы конфигурации.
Признаки компрометации и проверка
Если админ‑панель была доступна из интернета, рекомендуется провести экспресс‑оценку инцидента. Проверьте:
• Логи веб‑сервера (/var/log/httpd/* или /var/log/nginx/*) на подозрительные POST‑запросы к административным эндпоинтам и необычные источники IP.
• Логи Asterisk (/var/log/asterisk/full) на аномальные команды и изменения конфигурации.
• Неожиданные изменения в SIP‑транках, маршрутах и массовые исходящие вызовы.
• Новые админ‑пользователи, изменения прав, правки в задачах cron, новые или измененные PHP‑скрипты в веб‑каталогах FreePBX.
• Исходящие сетевые соединения с хоста PBX к неизвестным IP.
Реальные инциденты: сообщения от пользователей
Несколько организаций уже заявили о компрометации. Один из клиентов на форуме FreePBX сообщил о взломе части инфраструктуры, затронувшем около 3000 SIP‑расширений и 500 транков, после чего им пришлось полностью заблокировать административный доступ и выполнять восстановление. Другой администратор на Reddit отметил, что эксплойт позволял выполнять команды от имени пользователя asterisk, что значительно упрощало дальнейшее развитие атаки.
Ситуация с CVE-2025-57819 подтверждает старое правило: PBX — это критичная бизнес‑система, и её админ‑панель не должна быть публичной. Немедленно примените доступные патчи, закройте внешнюю админку с использованием VPN и списков разрешенных IP, включите аудит логов и настройте оповещения о необычных исходящих вызовах. Организациям, уже подвергшимся атаке, стоит задействовать план реагирования на инциденты: изоляция узла, форензика, сброс учетных данных, проверка целостности конфигурации и контролируемое восстановление из доверенных бэкапов.
