A equipe de segurança do Sangoma FreePBX está alertando sobre uma vulnerabilidade zero-day em FreePBX que está sendo explorada ativamente e impacta sistemas cujo Administrator Control Panel (ACP) está exposto à internet.
O FreePBX é uma plataforma open-source de PBX (Private Branch Exchange) construída sobre o Asterisk, amplamente utilizada por empresas, call centers e provedores de serviço para gerenciar comunicações de voz, ramais, SIP trunks e roteamento de chamadas.
Em um comunicado publicado nos fóruns do FreePBX, a equipe de segurança do Sangoma FreePBX avisou que, desde 21 de agosto, hackers vêm explorando uma vulnerabilidade zero-day em painéis de controle do administrador do FreePBX expostos.
“A equipe de segurança do Sangoma FreePBX está ciente de um potencial exploit que afeta alguns sistemas cujo painel de controle do administrador está exposto na internet pública, e estamos trabalhando em uma correção, com lançamento previsto para as próximas 36 horas", diz a publicação no fórum.
Recomendamos que os usuários limitem o acesso ao FreePBX Administrator utilizando o módulo Firewall para restringir o acesso apenas a hosts confiáveis conhecidos.
A equipe liberou um fix em um módulo EDGE para testes, com uma atualização padrão de segurança programada para ser lançada ainda hoje.
“O fix do módulo EDGE fornecido deve proteger futuras instalações contra a infecção, mas não é uma solução para sistemas existentes”, alertou Chris Maj, do Sangoma.
“Os sistemas 16 e 17 existentes podem ter sido impactados, caso a) tivessem o módulo endpoint instalado e b) a página de login do FreePBX Administrator estivesse diretamente exposta a uma rede hostil, por exemplo, a internet pública.”
Administradores que desejarem testar a versão EDGE podem instalá-la utilizando os seguintes comandos:
Usuarios FreePBX nas versões v16 ou v17 podem executar:
Comandos específicos para PBXAct v16:
Comandos específicos para PBXAct v17:
Entretanto, alguns usuários alertaram que, caso o contrato de suporte esteja expirado, pode não ser possível instalar o update EDGE, deixando o dispositivo vulnerável.
Se você não conseguir instalar o módulo EDGE, deve bloquear o acesso ao seu ACP até que a atualização completa de segurança seja liberada ainda hoje à noite.
Desde a publicação do aviso, vários clientes do FreePBX afirmaram que seus servidores foram invadidos através deste exploit.
“Estamos reportando que múltiplos servidores da nossa infraestrutura foram comprometidos, afetando aproximadamente 3.000 ramais SIP e 500 trunks”, publicou um cliente nos fóruns.
Como parte do nosso incidente, bloqueamos todo acesso de administrador e restauramos nossos sistemas para um estado anterior ao ataque.
Contudo, enfatizamos a importância crítica de determinar o escopo da violação.
“Sim, meu PBX pessoal também foi afetado, assim como um que ajudo a gerenciar.
O exploit basicamente permite que o atacante execute qualquer comando que o usuário asterisk tenha permissão para rodar”, comentou outro usuário no Reddit.
Embora o Sangoma não tenha divulgado detalhes sobre a vulnerabilidade explorada, a empresa e seus clientes compartilharam indicadores de comprometimento (IOCs) que podem ser verificados para identificar se um servidor foi explorado.
Entre esses IOCs estão:
- Arquivo de configuração /etc/freepbx.conf ausente ou modificado.
- Presença do script shell /var/www/html/.clean.sh, que provavelmente foi enviado pelos invasores.
- Entradas suspeitas nos logs do Apache referentes ao modular.php.
- Chamadas incomuns para a ramal 9998 nos logs do Asterisk desde 21 de agosto.
- Entradas não autorizadas na tabela ampusers do MariaDB/MySQL, especialmente procurando o nome "ampuser" suspeito na coluna mais à esquerda.
Se for confirmado que um servidor foi comprometido, a Sangoma recomenda restaurar backups anteriores a 21 de agosto, aplicar os módulos corrigidos em sistemas novos e realizar a rotação de todas as credenciais de sistema e relacionadas ao SIP.
Além disso, os administradores devem revisar registros de chamadas e faturas telefônicas em busca de sinais de abuso, principalmente tráfego internacional não autorizado.
Sistemas com interfaces FreePBX ACP expostas podem já estar comprometidos, e a empresa reforça a importância de que os administradores investiguem suas instalações e protejam os sistemas até que o patch definitivo seja aplicado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...