Ciberseguridad 360 | Ataque zero-day compromete servidores FreePBX

El equipo de seguridad de Sangoma FreePBX advierte sobre una vulnerabilidad zero-day de FreePBX que se est� explotando activamente y que afecta a los sistemas cuyo panel de control del administrador (ACP) est� expuesto a Internet.

FreePBX es una plataforma PBX (centralita privada) de c�digo abierto basada en Asterisk, ampliamente utilizada por empresas, centros de llamadas y proveedores de servicios para gestionar las comunicaciones de voz, las extensiones, los enlaces SIP y el enrutamiento de llamadas.

En un aviso publicado en los foros de FreePBX, el equipo de seguridad de Sangoma FreePBX advirti� que, desde el 21 de agosto, los piratas inform�ticos han estado explotando una vulnerabilidad de d�a cero en los paneles de control de administrador de FreePBX expuestos.

"El equipo de seguridad de Sangoma FreePBX es consciente de una posible vulnerabilidad que afecta a algunos sistemas cuyo panel de control del administrador est� expuesto a la red p�blica de Internet, y estamos trabajando en una soluci�n, cuya implementaci�n est� prevista en las pr�ximas 36 horas", se lee en la publicaci�n del foro.

"Se recomienda a los usuarios que limiten el acceso al administrador de FreePBX utilizando el m�dulo Firewall para restringir el acceso �nicamente a hosts conocidos y de confianza".

El equipo ha lanzado una correcci�n del m�dulo EDGE para realizar pruebas, y est� previsto que hoy mismo se publique una versi�n de seguridad est�ndar.

"La correcci�n del m�dulo EDGE proporcionada deber�a proteger las futuras instalaciones contra infecciones, pero no es una soluci�n para los sistemas existentes", advirti� Chris Maj, de Sangoma.

"Los sistemas 16 y 17 existentes pueden haberse visto afectados si a) ten�an instalado el m�dulo de punto final y b) su p�gina de inicio de sesi�n de administrador de FreePBX estaba directamente expuesta a una red hostil, por ejemplo, la Internet p�blica".

Sin embargo, algunos usuarios han advertido que si ahora tienes un contrato de soporte caducado, es posible que no puedas instalar la actualizaci�n EDGE, lo que dejar�a tu dispositivo desprotegido.

Si no puedes instalar el m�dulo EDGE, debes bloquear el acceso a tu ACP hasta que se publique la actualizaci�n de seguridad completa esta noche.

Falla explotada activamente para comprometer servidores

Desde que Sangoma public� el aviso, numerosos clientes de FreePBX se han manifestado afirmando que sus servidores hab�an sido violados a trav�s de esta vulnerabilidad.

"Informamos que varios servidores de nuestra infraestructura se vieron comprometidos, lo que afect� a aproximadamente 3000 extensiones SIP y 500 troncales", public� un cliente en los foros.

"Como parte de nuestra respuesta al incidente, hemos bloqueado todo el acceso de administrador y restaurado nuestros sistemas a un estado anterior al ataque. Sin embargo, debemos hacer hincapi� en la importancia cr�tica de determinar el alcance del compromiso".

"S�, mi PBX personal se vio afectada, al igual que otra que ayudo a gestionar. B�sicamente, el exploit permite al atacante ejecutar cualquier comando que el usuario asterisk tenga permiso para ejecutar", public� otro usuario en Reddit.

Aunque Sangoma no ha compartido ning�n detalle sobre la vulnerabilidad explotada, la empresa y sus clientes han compartido indicadores de compromiso que pueden comprobarse para determinar si un servidor ha sido explotado.

Estos IOC incluyen:

Archivo de configuraci�n /etc/freepbx.conf faltante o modificado.

Presencia del script de shell /var/www/html/.clean.sh. Se cree que fue subido por los atacantes.

Entradas sospechosas en el registro de Apache para modular.php.

Llamadas inusuales a la extensi�n 9998 en los registros de Asterisk desde el 21 de agosto.

Entradas no autorizadas en la tabla ampusers de MariaDB/MySQL, buscando espec�ficamente un nombre de usuario sospechoso �ampuser� en la columna del extremo izquierdo.

Si se determina que un servidor est� comprometido, Sangoma recomienda restaurar desde copias de seguridad creadas antes del 21 de agosto, implementar los m�dulos parcheados en sistemas nuevos y rotar todas las credenciales relacionadas con el sistema y SIP.

Los administradores tambi�n deben revisar los registros de llamadas y las facturas telef�nicas en busca de signos de abuso, especialmente tr�fico internacional no autorizado.

Aquellos con interfaces ACP de FreePBX expuestas pueden estar ya comprometidos, y la empresa insta a los administradores a investigar sus instalaciones y asegurar los sistemas hasta que se pueda aplicar una soluci�n.

Fuente: bleepingcomputer