前言:來自FreePBX的緊急資安警訊
在全球範圍內廣泛應用的開源PBX(電話交換機)軟體FreePBX,近日正遭受駭客利用一個未知的零時差(Zero-day)漏洞發動攻擊。這些攻擊專門針對那些將其管理控制面板(Administrator Control Panel, ACP)直接暴露在網際網路上的伺服器。這場攻擊行動自8月21日起便開始肆虐,促使FreePBX背後的公司Sangoma緊急發布了安全公告,並著手開發修復程式。這起事件不僅凸顯了零時差漏洞的危險性,也對企業的語音通訊安全敲響了警鐘。
零時差攻擊的運作模式與威脅
所謂「零時差」漏洞,是指一個已經被駭客發現並利用,但軟體開發商卻毫不知情或尚未發布修復程式的漏洞。這種攻擊往往出乎意料,因為目標系統缺乏任何已知的防禦機制。在此次FreePBX攻擊中,駭客正是利用了這個未公開的漏洞,得以繞過安全防線,直接入侵伺服器。
儘管Sangoma官方尚未公布漏洞的具體技術細節,但已證實駭客的入侵行為導致了多個FreePBX客戶的系統被成功入侵。據其中一位客戶回報,約有3,000個SIP分機和500條中繼線受到影響,這顯示攻擊規模相當可觀。攻擊成功後,駭客可能進行惡意呼叫、竊聽通話內容、或將伺服器作為跳板,發動進一步的網路攻擊,對企業的營運連續性與數據隱私造成嚴重威脅。
官方修復方案與挑戰
面對嚴峻形勢,Sangoma的FreePBX安全團隊迅速反應,發布了一個名為「EDGE module fix」的緊急修復模組。這個模組旨在為受影響的用戶提供一個臨時性的解決方案,以阻止攻擊的繼續。然而,這款修復模組並非適用於所有情況,它無法自動修復已經被入侵的系統。更重要的是,對於那些支援服務已過期的用戶而言,他們可能無法透過官方管道安裝這個修復程式,這使得他們處於更大的風險之中。這也提醒了企業,定期更新軟體與維護支援服務的重要性。
如何應對與檢查是否已遭入侵?
為了協助管理員判斷他們的伺服器是否已被入侵,Sangoma及其客戶分享了一系列入侵指標(Indicators of Compromise, IOCs)。如果管理員發現以下任何跡象,都應視為系統已遭入侵的強烈警訊:
系統檔案異常: 某些關鍵的組態檔案可能被刪除或修改。
可疑的腳本檔案: 在伺服器上發現名為php_test.php的可疑shell腳本。
不尋常的日誌: Apache的存取日誌中出現異常條目,特別是來自可疑IP位址的請求。
異常呼叫行為: 發現從分機9998發出的未經授權通話記錄。
資料庫變動: 在ampusers表格中出現未經授權的用戶或變動。
如果經過檢查確認伺服器已被入侵,Sangoma強烈建議採取以下應急措施:
從備份中復原: 立即將系統還原至8月21日之前的乾淨備份。
部署修補模組: 在一個全新的、乾淨的系統上安裝並部署已修補的模組。
變更所有憑證: 立即輪換所有系統與SIP相關的帳號密碼,以防範駭客繼續利用被竊取的憑證。
結論:不容忽視的資安警訊
FreePBX的零時差漏洞攻擊,再次證明了沒有任何軟體能夠完全免疫於駭客威脅。對於企業而言,這是一個寶貴的教訓。將管理介面直接暴露在網際網路是極其危險的行為,應當透過VPN、防火牆等手段進行嚴格的存取控制。同時,定期進行軟體更新、備份以及監控系統日誌,是維護企業資安最基本的黃金準則。只有持續保持警惕,才能在不斷演變的網路威脅環境中,確保語音通訊等關鍵基礎設施的安全。
資料來源:https://www.bleepingcomputer.com/news/security/freepbx-servers-hacked-via-zero-day-emergency-fix-released/