報導摘要
近期,知名通訊軟體公司Sangoma的安全團隊發布緊急資安通告,警告其廣泛使用的開源PBX(電話交換機)系統FreePBX存在一個正在被積極利用的關鍵零日漏洞。此漏洞已獲得CVE-2025-57819的識別碼,並被評定為最高危險等級,CVSS分數高達10.0。駭客自2025年8月21日起,便開始鎖定並攻擊那些將管理控制面板(ACP)暴露在公共網路上的FreePBX伺服器。此漏洞的成功利用,可能導致攻擊者在未經身份驗證的情況下,執行遠端程式碼並全面控制受害伺服器,對企業通訊安全構成嚴峻威脅。
漏洞詳細解析
此零日漏洞存在於FreePBX的商業模組「Endpoint Manager」中,其核心問題在於對使用者輸入的資料缺乏嚴格的過濾與驗證。這個缺陷使得攻擊者能夠繞過身份驗證機制,直接存取FreePBX的後台管理員權限,並進行任意的資料庫操作(SQLi)。更嚴重的是,攻擊者可以藉此達成遠端程式碼執行(RCE),這意味著他們可以在受害伺服器上執行任何惡意指令,進而全面掌控系統。
攻擊手法與威脅影響
駭客的攻擊手法相當直接且具備高度破壞性。他們專門尋找那些缺乏IP過濾或防火牆保護,且管理控制面板直接對外開放的FreePBX 16和17版本伺服器。一旦成功利用漏洞,攻擊者便能獲得以下權限:
全面控制管理員介面: 駭客可以自由地操作FreePBX的網路使用者介面,新增或提升帳號權限,修改路由設定,甚至停用警報,以維持其在系統中的隱匿性。
竊取敏感憑證: 攻擊者能夠竊取重要的通訊憑證,包括SIP中繼線路(SIP Trunk)的帳號密碼、分機密鑰,以及通話錄音等敏感資訊。
植入惡意後門: 駭客在取得系統控制權後,通常會植入惡意後門,確保即使在漏洞被修補後,他們仍能持續存取受害系統。
美國網路安全暨基礎設施安全局(CISA)已將此漏洞列入其「已知被利用的漏洞」(KEV)目錄,並要求聯邦機構在指定期限內完成修補,這進一步證實了此漏洞的嚴重性與威脅的緊迫性。
緊急修補與防護措施
為了應對這場大規模的攻擊,Sangoma的FreePBX安全團隊發布了緊急修補程式。由於此漏洞已被積極利用,Sangoma強烈建議所有使用者立即採取行動,更新受影響的FreePBX版本。
受影響版本與修補方式:
FreePBX 15: 升級至版本 15.0.66。
FreePBX 16: 升級至版本 16.0.89。
FreePBX 17: 升級至版本 17.0.3。
對於無法立即完成修補的用戶,Sangoma也提供臨時的緩解措施,以降低風險:
限制網路存取: 立即配置FreePBX內建的防火牆模組,僅允許來自已知且信任的IP位址(例如公司內部網路或VPN)存取管理控制面板。這是最關鍵且有效的防禦手段。
禁用公開存取: 如果無法進行IP過濾,應暫時禁用管理控制面板對公共網路的存取,直到完成官方修補為止。
檢查入侵跡象: 管理員應主動審核所有FreePBX系統,尋找可能的入侵跡象,包括:
是否有未經授權的管理員帳號被建立。
檢查Apache日誌中是否有可疑的 modular.php POST請求。
在Asterisk日誌中尋找不尋常的分機號碼呼叫記錄(例如 9998)。
檢查是否存在被竄改或遺失的 /etc/freepbx.conf 檔案。
總結與未來展望
Sangoma FreePBX零日漏洞的事件再次敲響了警鐘,突顯出網路基礎設施中,即便是一個看似無害的錯誤,也可能被駭客利用,造成災難性的後果。此次攻擊的爆發,再次證明了主動式資安防護的重要性。企業與個人不應抱持僥倖心態,應定期進行資安風險評估,並將網路分割、主動修補與員工資安意識教育納入日常營運SOP中。唯有如此,才能在面對日益複雜與狡猾的網路威脅時,築起一道堅實的防線。
資料來源:https://www.securityweek.com/sangoma-patches-critical-zero-day-exploited-to-hack-freepbx-servers/
Sangoma為其FreePBX系統發布緊急修補程式,以應對一個CVSS滿分10.0、正在被駭客積極利用的關鍵零日漏洞(CVE-2025-57819)。此漏洞允許未經身份驗證的遠端攻擊,可能導致伺服器遭全面入侵。