Se gestisci un centralino telefonico FreePBX, devi agire immediatamente. Sono state scoperte gravi falle di sicurezza che permettono agli aggressori di accedere al tuo sistema senza autorizzazione e prenderne il controllo completo. La buona notizia è che la soluzione è semplice: aggiornare FreePBX alla versione più recente.
Queste vulnerabilità sono già state sfruttate in attacchi reali, quindi non è una minaccia teorica. Gli aggressori possono:
– Accedere al pannello amministrativo senza password
– Manipolare il database del sistema
– Eseguire comandi dannosi sul server
– Rubare dati sensibili o effettuare frodi telefoniche
Azioni immediate da intraprendere
Priorità 1: Aggiorna FreePBX
Verifica quale versione stai usando e aggiorna immediatamente:
– Se usi FreePBX 15: aggiorna almeno alla versione 15.0.66
– Se usi FreePBX 16: aggiorna almeno alla versione 16.0.92
– Se usi FreePBX 17: aggiorna almeno alla versione 17.0.22
Priorità 2: Proteggi l’accesso amministrativo
Limita chi può accedere al pannello di controllo:
– Attiva il firewall di FreePBX
– Permetti l’accesso solo dagli indirizzi IP di cui ti fidi
– Non esporre il pannello amministrativo su internet senza protezione
Priorità 3: Verifica se sei stato compromesso
Controlla questi segnali di attacco:
– File /etc/freepbx.conf modificato di recente o mancante
– Presenza del file /var/www/html/.clean.sh
– Richieste sospette a modular.php nei log web
– Chiamate strane all’estensione 9998
– Utenti sconosciuti nel sistema, specialmente uno chiamato ampuser
Protezione aggiuntiva mentre aggiorni
Mentre applichi gli aggiornamenti, puoi ridurre il rischio configurando manualmente:
– Cambia il tipo di autenticazione in usermanager tramite il comando fwconsole
– Disabilita l’opzione “Ignora impostazioni di sola lettura”
– Riavvia il sistema per disconnettere qualsiasi sessione non autorizzata
Queste misure forniscono una protezione temporanea mentre completi l’aggiornamento.
Approfondimento tecnico
Vulnerabilità specifiche identificate
La ricerca di Horizon3.ai ha scoperto quattro vulnerabilità critiche:
CVE-2025-57819 (CVSS 10.0 – Criticità massima)
Questa è la vulnerabilità più pericolosa e attivamente sfruttata. Si trova nel modulo endpoint di FreePBX e consente l’accesso non autenticato all’interfaccia amministrativa. La falla deriva da sanitizzazione insufficiente dei dati forniti dall’utente, permettendo manipolazione del database e conseguente esecuzione remota di codice. Colpisce tutte le versioni supportate: FreePBX 15 (fino a 15.0.65), FreePBX 16 (fino a 16.0.88) e FreePBX 17 (fino a 17.0.2).
CVE-2025-66039
Bypass dell’autenticazione tramite header Authorization contraffatto nel modulo Endpoint Management. Consente iniezione SQL attraverso parametri di configurazione firmware, evolvendo in esecuzione remota di codice.
CVE-2025-61675
Multiple iniezioni SQL autenticate nel sistema. Gli aggressori possono manipolare la tabella cron_jobs per inserire comandi del sistema operativo o modificare la tabella ampusers per aggiungere utenti malevoli, portando a RCE completa.
CVE-2025-61678
Vulnerabilità di upload arbitrario di file combinata con bypass dell’autenticazione, permettendo l’esecuzione remota diretta di codice.
Matrice di vulnerabilità per versione
| Versione | Versione vulnerabile fino a | Versione corretta |
|———-|——————————|——————-|
| FreePBX 15 | 15.0.65 | 15.0.66+ |
| FreePBX 16 | 16.0.88 | 16.0.92+ |
| FreePBX 17 | 17.0.2 | 17.0.22+ |
Indicatori di compromissione (IoC) avanzati
Per un’analisi forense completa, ricerca:
– Modifiche recenti a /etc/freepbx.conf o file mancante
– Presenza di /var/www/html/.clean.sh (indicatore di shell malevola)
– POST requests a modular.php nei web server logs (pattern non legittimo)
– Estensione 9998 nei call detail records (CDR) se non precedentemente configurata
– Utenti sospetti nella tabella ampusers del database MySQL
– Voci sospette nella tabella cron_jobs che contengono comandi di sistema
Strategie di mitigazione avanzate
Oltre all’aggiornamento, implementa:
- Configurazione manuale dell’autenticazione: Utilizza
fwconsoleper impostare AUTHTYPE suusermanageranzichéwebserver, eliminando il vettore di attacco del bypass
- Configurazione manuale dell’autenticazione: Utilizza
- Disabilitazione delle opzioni pericolose: Imposta “Ignora impostazioni di sola lettura” su No
- Riavvio forzato: Disconnetti tutte le sessioni riavviando il servizio
- Monitoraggio dashboard: FreePBX visualizza avvisi di sicurezza che devono essere revisionati regolarmente
- Logging e auditing: Abilita il logging dettagliato per rilevare tentativi di sfruttamento
Contesto di scoperta
Queste vulnerabilità sono state scoperte indipendentemente dalla ricerca che ha identificato CVE-2025-57819. Horizon3.ai ha divulgato i risultati il 15 settembre 2025, portando a tre advisories separate da FreePBX. Le patch sono state distribuite attraverso i repository stabili ufficiali e devono essere applicate immediatamente su tutti i sistemi in produzione.
