День X для корпоративной связи: 0-day парализовала планету — тысячи компаний не могут дозвониться

FreePBX Сangoma уязвимости 0-day Endpoint связь нулевой день
День X для корпоративной связи: 0-day парализовала планету — тысячи компаний не могут дозвониться
FreePBX Сangoma уязвимости 0-day Endpoint связь нулевой день

Отчёт о новой опасной уязвимости в FreePBX.

image

Sangoma предупреждает: в FreePBX активно эксплуатируется уязвимость нулевого дня , затрагивающая инсталляции, у которых веб-интерфейс администратора (Administrator Control Panel, ACP) доступен из Интернета. Речь идёт об открытой IP-АТС FreePBX (над Asterisk), которую используют компании, колл-центры и провайдеры для управления внутренней связью, SIP-транками и маршрутизацией вызовов.

По данным команды безопасности FreePBX, атаки начались 21 августа. Под удар попадают в первую очередь версии 16 и 17 при двух условиях: установлен модуль Endpoint, а страница входа администратора открыта во внешнюю сеть. Производитель призывает немедленно ограничить доступ к ACP — минимум через модуль Firewall, разрешив подключение только с доверенных адресов.

Sangoma выложила «EDGE»-исправление модуля для тестирования; стандартный релиз безопасности обещан «в ближайшее время» (изначально заявлено — в течение 36 часов). Важно: этот быстрый патч защищает будущие установки, но не «лечит» уже скомпрометированные хосты. Часть пользователей сообщают, что при истёкшем контракте поддержки установить EDGE-обновление может не получиться — таким системам до выхода полного патча рекомендуют просто закрыть ACP снаружи.

Установка тестового исправления: 

FreePBX 16/17:
  fwconsole ma downloadinstall endpoint --edge
  PBXAct 16:
  fwconsole ma downloadinstall endpoint --tag 16.0.88.19
  PBXAct 17:
  fwconsole ma downloadinstall endpoint --tag 17.0.2.31

После публикации предупреждения в форуме FreePBX сразу появились отчёты о взломах. Один из клиентов сообщил о компрометации нескольких серверов, затронуты около 3000 SIP-внутренних номеров и 500 транков; доступ администраторов временно заблокирован, системы откатывают к состоянию «до атаки». Другие админы подтверждают, что злоумышленники через эксплойт выполняют любые команды с правами пользователя asterisk.

Технические детали уязвимости Sangoma пока не раскрывает, однако производитель и пострадавшие админы собрали индикаторы компрометации (IoC), по которым можно проверить инсталляцию:

  • отсутствует или изменён конфигурационный файл /etc/freepbx.conf;
  • на веб-корне есть скрипт оболочки /var/www/html/.clean.sh (считается загруженным атакующими);
  • в логах Apache замечены подозрительные запросы к modular.php;
  • в журналах Asterisk фиксируются нетипичные вызовы на добавочный 9998 с 21 августа;
  • в таблице ampusers базы MariaDB/MySQL есть несанкционированные записи, в том числе подозрительная учётка с именем ampuser в крайнем левом столбце.

Если признаки компрометации подтверждаются, Sangoma советует:

  1. Восстановить систему из резервной копии, сделанной до 21 августа.
  2. Развернуть «с нуля» и сразу поставить исправленные модули.
  3. Поменять все пароли и ключи: системные учётные записи, доступы к БД, SIP-логины/секреты.
  4. Проверить CDR/биллинговые записи на предмет злоупотреблений, особенно международного трафика.
  5. До установки финального патча закрыть ACP от внешнего доступа (фаервол/ВПН/allow-list).

Если интерфейс администратора FreePBX был доступен из интернета, исходите из наихудшего сценария: инсталляция уже могла быть скомпрометирована, её следует оперативно обследовать и изолировать. Производитель обещает полноценное обновление безопасности для всех затронутых сборок; до его выхода критично минимизировать поверхность атаки и выполнить базовую гигиену (жёсткие правила фаервола, отключение ненужных модулей, мониторинг логов и сетевой активности).