Sangoma FreePBX 安全团队近日发布紧急通告,警告一个正在被 积极利用的零日漏洞,该漏洞影响所有 直接将管理员控制面板(ACP)暴露在互联网上的 FreePBX 系统。
FreePBX 是一款基于 Asterisk 的开源 PBX(专用交换机)平台,被广泛用于企业、呼叫中心和服务提供商,以管理语音通信、分机、SIP 中继和呼叫路由。
官方警告与临时修复
在 FreePBX 论坛的公告中,安全团队表示:
“我们注意到一个可能影响部分 FreePBX 系统的漏洞,尤其是那些将管理员控制面板直接暴露在公网的实例。攻击行为自 8 月 21 日起已被观测到。团队正在开发修复补丁,预计将在 36 小时内发布。”
安全团队建议用户立即采取措施,通过 Firewall 模块限制 ACP 访问,仅允许可信主机。
目前,Sangoma 已发布了一个 EDGE 模块修复补丁供测试使用,标准的安全更新预计将在当天晚些时候正式发布。
需要注意的是,该 EDGE 模块修复仅能 保护未来的新安装系统,无法修复已被入侵的现有系统。
官方警告称:
- FreePBX 16 和 17 版本可能已受影响,前提是:
- 安装了 Endpoint 模块;
- 管理员登录页面直接暴露在公网等不可信网络。
紧急安装方法
- FreePBX v16 / v17 用户:
fwconsole ma downloadinstall endpoint --edge
- PBXAct v16 用户:
fwconsole ma downloadinstall endpoint --tag 16.0.88.19
- PBXAct v17 用户:
fwconsole ma downloadinstall endpoint --tag 17.0.2.31
但有部分用户反馈,如果支持合同已过期,可能无法安装 EDGE 补丁,从而导致设备依然处于风险之中。对于无法安装的用户,官方建议 立即阻止 ACP 访问,直到正式补丁发布。
攻击已导致大规模入侵
自公告发布以来,已有大量 FreePBX 用户报告服务器遭入侵。
有客户在论坛发帖称:
“我们报告称,基础设施中多台服务器遭到攻陷,约 3,000 个 SIP 分机与 500 条中继受影响。我们已紧急锁定所有管理员访问,并将系统恢复至攻击前的状态。但我们必须强调确定入侵范围的重要性。”
在 Reddit 上,另一位用户表示:
“我的个人 PBX 以及我协助管理的一台 PBX 都被攻陷了。该漏洞基本允许攻击者以 Asterisk 用户权限执行任意命令。”
入侵迹象(IOC)
尽管 Sangoma 尚未披露漏洞的具体技术细节,但已知的一些入侵迹象包括:
-
缺失或被篡改的
/etc/freepbx.conf配置文件 -
/var/www/html/目录下出现可疑脚本.clean.sh - Apache 日志中存在异常的 modular.php 请求
- Asterisk 日志中出现异常的 分机 9998 呼叫记录,时间可追溯至 8 月 21 日
- MariaDB/MySQL 数据库 ampusers 表中新增可疑账号,尤其是名为 “ampuser” 的条目
官方处置建议
若确认服务器已被入侵,Sangoma 建议:
- 恢复至 8 月 21 日前的备份
- 在全新系统上部署修复补丁
- 重置所有系统与 SIP 相关凭据
- 检查通话记录与账单,关注是否有未经授权的国际呼叫
Sangoma 强调:所有 直接暴露 ACP 界面的 FreePBX 系统 都可能已经被攻陷。管理员应立即排查环境并采取防护措施,直到安全补丁全面部署。
发表评论
您还未登录,请先登录。
登录