Популярна платформа IP‑телефонії FreePBX (на базі Asterisk) опинилася під прицілом через нульовий день CVE-2025-57819 з максимальною оцінкою CVSS 10.0. За даними Sangoma Technologies, з 21 серпня 2025 року фіксується активна експлуатація інстансів із публічно доступною адміністративною панеллю.
Нульовий день у FreePBX: що сталося і чому це важливо
Коренева причина пов’язана з недостатньою фільтрацією вхідних даних у поєднанні з логічними помилками автентифікації. Це дозволяє зловмисникам обійти вхід в адмін‑панель, маніпулювати базою даних і зрештою досягати віддаленого виконання коду (RCE). Іншими словами, атакуючий може нав’язувати системі свої команди так, ніби він має адміністративні права.
Які версії та інсталяції в зоні ризику
Підтверджені атаки на FreePBX 16 та 17, насамперед інсталяції з відкритою з інтернету адмін‑панеллю. Вендор уже розгорнув позачергові оновлення для ключових модулів (зокрема через канал EDGE) і закликає обмежити доступ за allowlist та/або перевести адміністрування у VPN.
Технічна суть уразливості та потенційні наслідки для PBX
Експлуатація комбінації несанітизованого вводу і вад авторизації відкриває шлях до несанкціонованої зміни конфігурацій PBX, створення та підміни облікових записів, правок у SIP‑транках і маршрутах. У низці сценаріїв можливе виконання команд від імені користувача asterisk із подальшою ескалацією до root.
Ризики для бізнесу включають масове викрадення SIP‑обліковок, toll fraud (мошенницькі дзвінки за платними напрямками), зупинку сервісів телефономережі, витік CDR/логів та використання PBX як плацдарму для подальшого проникнення в мережу. Для організацій, де голос — критичний сервіс, це напряму конвертується у фінансові втрати й шкоду репутації.
Патчі від Sangoma та першочергові заходи захисту
Виробник повідомив про поетапне розгортання виправлень і вже надав екстрені оновлення модулів. Рекомендовано виконати такі кроки без зволікань:
1) Негайно оновіть FreePBX і всі задіяні модулі до останніх підтримуваних версій через Module Admin; стежте за новими патчами щодня.
2) Обмежте доступ до адмін‑панелі: увімкніть вбудований Firewall, застосуйте allowlist для довірених IP/сегментів, винесіть адміністрування у VPN або повністю припиніть зовнішню публікацію панелі.
Тимчасові бар’єри на периметрі та мінімізація поверхні атаки
3) Посильте периметр: додайте базову HTTP‑аутентифікацію, використовуйте зворотний проксі з GeoIP‑фільтрацією, увімкніть сповіщення SIEM/моніторингу щодо аномалій.
4) Зменшіть площину атаки: відключіть зайві модулі, видаліть гостьові й застарілі обліковки, дотримуйтеся принципу найменших привілеїв, регулярно створюйте офлайн‑бекапи конфігурацій і перевіряйте їх відновлюваність.
Ознаки компрометації: що перевірити прямо зараз
Якщо адмін‑панель була доступна з інтернету, проведіть прискорену перевірку інциденту:
• Логи веб‑сервера (/var/log/httpd/* або /var/log/nginx/*) на підозрілі POST‑запити до адмін‑ендпоїнтів і нетипові IP‑джерела.
• Логи Asterisk (/var/log/asterisk/full) на незвичні команди та зміни конфігурацій.
• Несподівані правки в SIP‑транках/маршрутах і хвилі масових вихідних дзвінків.
• Нові адмін‑користувачі, змінені ролі, записи в cron, нові чи підмінені PHP‑скрипти у веб‑каталогах FreePBX.
• Вихідні з’єднання з PBX до невідомих IP‑адрес.
Повідомлення з поля: реальні інциденти
За повідомленнями користувачів, фіксувалися випадки компрометації, де було уражено приблизно 3000 SIP‑розширень і 500 транків, що змусило адміністраторів повністю перекрити адмін‑доступ і відновлюватися з резервних копій. В інших кейсах експлойт давав змогу виконувати команди від імені asterisk, суттєво спрощуючи подальшу ескалацію.
Ситуація з CVE-2025-57819 підтверджує базове правило операційної безпеки: адмін‑панель PBX не повинна бути опублікована назовні. Дійте негайно: застосуйте патчі, винесіть доступ у VPN з allowlist, активуйте аудит логів і сповіщення про аномальні вихідні дзвінки. Якщо компрометація імовірна — ізолюйте вузол, проведіть форензику, скиньте облікові дані, перевірте цілісність конфігурації та виконайте контрольоване відновлення з перевірених бекапів. Це мінімізує час простою, витрати та наслідки для бізнесу.
