ISGroup Cybersicherheitsberatung

CVE-2025-57819 – Sangoma FreePBX: Authentifizierungs-Bypass führt zu SQL-Injection und Remote Code Execution

FreePBX ist eine webbasierte Open-Source-GUI zur Steuerung und Verwaltung von Asterisk. Sie ermöglicht es Unternehmen mit weniger technischem Fachwissen oder begrenzten Ressourcen, Asterisk effektiv zu nutzen. CVE-2025-57819 ist eine kritische Zero-Day-Schwachstelle, die die Sangoma FreePBX-Versionen 15, 16 und 17 betrifft, insbesondere das Endpoints-Modul in Versionen vor 15.0.66, 16.0.89 und 17.0.3. Der zugewiesene CVSS v4-Score liegt bei 10,0 (Kritisch), was das höchste Maß an Ausnutzbarkeit und Auswirkungen widerspiegelt.

ProduktSangoma FreePBX
Datum09.09.2025 13:14:37

Technische Zusammenfassung

Die Schwachstelle beruht auf einer unzureichenden Bereinigung (Sanitization) von Benutzereingaben innerhalb des kommerziellen endpoint-Moduls von FreePBX. Dieser Fehler ermöglicht es nicht authentifizierten Angreifern, Authentifizierungsmechanismen zu umgehen, Zugriff auf die FreePBX-Verwaltungsoberfläche zu erlangen und die zugrunde liegende Datenbank willkürlich zu manipulieren. Ein solcher Zugriff kann mit weiteren Exploits kombiniert werden, um eine Remote Code Execution (RCE) zu erreichen, was zur vollständigen Kompromittierung des Systems führt.

FreePBX bietet eine Weboberfläche für die Verwaltung von VoIP-Aktionen, wie das Erstellen von Nebenstellen, das Ändern von Anrufrouten oder das Installieren und Entfernen von Modulen. Wenn eine Aktion über das endpoints-Modul ausgeführt wird, wird sie an modular.php gesendet, das auf einem zentralen FreePBX-Server läuft, und dort in SQL-Abfragen übersetzt.

Im Normalbetrieb, d. h. wenn Anfragen über die Weboberfläche gesendet werden, werden die Anfragen ordnungsgemäß bereinigt; das direkte Senden von Anfragen an modular.php umgeht jedoch diese Bereinigungsebene. Dies bedeutet, dass ein Angreifer manipulierte HTTP-Anfragen mit schädlichen Payloads erstellen kann, die ohne Bereinigung in die SQL-Abfragen gelangen. Durch die Ausnutzung dieser Schwachstelle kann der Angreifer die Datenbanklogik manipulieren, was zu einer SQL-Injection und letztendlich zur Umgehung der Authentifizierung führt.

Empfehlungen

  1. Sofortiges Patchen: Aktualisieren Sie das Endpoint-Modul auf:
    • FreePBX 15 → 15.0.66
    • FreePBX 16 → 16.0.89
    • FreePBX 17 → 17.0.3
  2. Isolierung oder Zugriffsbeschränkung: Aktivieren Sie Firewalls, falls noch nicht geschehen, und unterbinden Sie den Zugriff aus dem Internet oder von externen Zonen auf die Web-Verwaltungsoberflächen.
  3. Suche nach Indikatoren für eine Kompromittierung (IoC): Überprüfen Sie das System auf Anzeichen einer Kompromittierung, darunter:
    • Die Datei /etc/freepbx.conf wurde geändert oder fehlt
    • Vorhandensein eines verdächtigen Skripts /var/www/html/.clean.sh
    • Überprüfung der Apache-Logs auf POST-Anfragen an modular.php; zurückreichend bis mindestens zum 21. August
    • Überprüfung der Asterisk-Logs auf Anrufe an die Nebenstelle 999; zurückreichend bis mindestens zum 21. August
    • Untersuchung der MariaDB/MySQL-Logs und -Tabellen auf unbekannte MACD-Einträge in der Tabelle ampusers; insbesondere auf einen verdächtigen Benutzernamen ampuser

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *