MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
FreePBX

استهداف خوادم FreePBX بثغرة صفرية، وإتاحة تصحيح طارئ الآن

تستغل ثغرة صفرية حرجة (CVSS 10.0) في FreePBX الخوادم المعرضة للإنترنت، مما يسمح بالوصول غير المصرح به وتنفيذ التعليمات البرمجية عن بُعد.

استهداف خوادم FreePBX بثغرة صفرية، وإتاحة تصحيح طارئ الآن

 المايسترو نيرو - قسم الثغرات الصفرية / الثغرات

أصدر فريق أمان Sangoma FreePBX إشعارًا تحذيريًا بشأن ثغرة صفرية في FreePBX يتم استغلالها نشطًا وتؤثر على الأنظمة التي تعرض لوحة تحكم المشرف (ACP) للإنترنت العام.

FreePBX هو منصة بُنى تبادل الهاتف الخاص (PBX) مفتوحة المصدر تُستخدم على نطاق واسع من قبل الشركات ومراكز الاتصال ومزودي الخدمات لإدارة الاتصالات الصوتية. تم بناؤها فوق Asterisk، وهو خادم اتصالات مفتوح المصدر.

"البيانات التي يُدخلها المستخدم والتي لا تُطهر بشكل كافٍ تسمح بالوصول غير المصادق عليه إلى مدير FreePBX، مما يؤدي إلى التلاعب التعسفي بقاعدة البيانات وتنفيذ التعليمات البرمجية عن بُعد،" قال مطورو المشروع في إشعارهم.

تؤثر هذه الثغرة، التي تم تعيين المعرف CVE-2025-57819 لها، على الإصدارات التالية:

  • FreePBX 15 قبل الإصدار 15.0.66
  • FreePBX 16 قبل الإصدار 16.0.89
  • FreePBX 17 قبل الإصدار 17.0.3

وأضافت Sangoma أن مستخدمًا غير مصرح به بدأ بالوصول إلى أنظمة FreePBX 16 و17 المتصلة بالإنترنت بدءًا من 21 أغسطس 2025 أو قبل ذلك، خاصة تلك التي لا تمتلك تصفية IP كافية أو قوائم تحكم بالوصول (ACLs)، وذلك باستغلال مشكلة في تطهير معالجة المدخلات التي يُدخلها المستخدم في وحدة "endpoint" التجارية.

ثم تم دمج الوصول الأولي الذي تم الحصول عليه بهذه الطريقة مع خطوات أخرى للحصول على صلاحيات الجذر (root-level access) على الأجهزة المستهدفة.

إجراءات الطوارئ:

بالنظر إلى الاستغلال النشط، يُنصح المستخدمون بالترقية إلى أحدث إصدارات FreePBX المدعومة وتقييد الوصول العام إلى لوحة تحكم المشرف. كما يُنصح بمسح البيئات للبحث عن مؤشرات الاختراق التالية (IoCs):

  • الملف "/etc/freepbx.conf" تم تعديله حديثًا أو مفقود
  • وجود الملف "/var/www/html/.clean.sh" (هذا الملف لا ينبغي أن يوجد على الأنظمة الطبيعية)
  • طلبات POST مشبوهة إلى "modular.php" في سجلات خادم الويب Apache تعود إلى 21 أغسطس 2025 على الأقل
  • مكالمات هاتفية تم إجراؤها إلى الرقم الفرعي 9998 في سجلات مكالمات Asterisk وسجلات تفاصيل المكالمات (CDRs) غير معتادة (إلا إذا تم تكوينها مسبقًا)
  • مستخدم "ampuser" مشبوه في جدول قاعدة البيانات ampusers أو مستخدمين غير معروفين آخرين

"نشهد استغلالًا نشطًا لـ FreePBX في البرية، مع نشاط يعود إلى 21 أغسطس وترك باب خلفي بعد الاختراق،" قال بنجامين هاريس، الرئيس التنفيذي لشركة watchTowr، في بيان مشارك مع The Hacker News. "إذا كنت تستخدم FreePBX مع وحدة endpoint، افترض أن النظام قد تم اختراقه. قم بفصل الأنظمة فورًا. لن تزيد التأخيرات سوى من نطاق الضرر."

آخر تحديث: 7 أكتوبر 2025