CVE-2025-64328

Sangoma FreePBX

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2026-02-03

Официальное описание

Sangoma FreePBX Endpoint Manager contains an OS command injection vulnerability that could allow for a post-authentication command injection by an authenticated known user via the testconnection -> check_ssh_connect() function. An attacker can leverage this vulnerability to potentially obtain remote access to the system as an asterisk user.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-64328 затрагивает модуль Endpoint Manager в системе Sangoma FreePBX. Проблема заключается во внедрении команд операционной системы (OS Command Injection) внутри функции check_ssh_connect(), которая вызывается при проверке соединения (testconnection).

Поскольку уязвимость эксплуатируется после аутентификации, злоумышленник, имеющий учетную запись с доступом к данному модулю, может передать специально сформированные данные в параметры функции. Эти данные будут интерпретированы и выполнены сервером как системные команды от имени пользователя asterisk. В результате атакующий может получить удаленный доступ к серверу, повысить привилегии или скомпрометировать инфраструктуру IP-телефонии.

Как исправить

Единственным надежным способом устранения данной уязвимости является обновление модуля Endpoint Manager до версии, в которой разработчики закрыли возможность инъекции команд.

Обновление через командную строку (CLI):

  1. Подключитесь к вашему серверу FreePBX по SSH с правами root.
  2. Запустите процесс загрузки и обновления модуля Endpoint Manager:
fwconsole ma upgrade endpoint
  1. После успешного обновления обязательно примените новую конфигурацию:
fwconsole reload

Обновление через веб-интерфейс (GUI):

  1. Авторизуйтесь в панели управления FreePBX.
  2. Перейдите в верхнем меню по пути: Admin -> Module Admin.
  3. Нажмите кнопку Check Online, чтобы получить актуальный список версий.
  4. В списке модулей найдите Endpoint Manager, разверните его и выберите действие Download and Upgrade.
  5. Нажмите кнопку Process в правом верхнем углу и подтвердите установку.
  6. После завершения установки нажмите красную кнопку Apply Config.

Временные меры

Если немедленное обновление системы невозможно по техническим или бизнес-причинам, необходимо внедрить следующие компенсирующие контроли для снижения риска эксплуатации:

  1. Ограничение сетевого доступа к GUI: Настройте системный брандмауэр таким образом, чтобы доступ к веб-интерфейсу FreePBX (порты 80/TCP и 443/TCP) был разрешен исключительно с доверенных IP-адресов администраторов или через корпоративный VPN.
iptables -A INPUT -p tcp --dport 443 -s ВАШ_ДОВЕРЕННЫЙ_IP -j ACCEPT


iptables -A INPUT -p tcp --dport 443 -j DROP

  1. Аудит и ограничение прав пользователей: Поскольку уязвимость требует предварительной аутентификации, минимизируйте количество пользователей, имеющих доступ к системе. Перейдите в раздел Admin -> Administrators и временно отзовите права на использование модуля Endpoint Manager у всех учетных записей, кроме главных администраторов.

  2. Усиленный мониторинг: Настройте SIEM-систему или локальный мониторинг на отслеживание аномальной активности от имени системного пользователя asterisk. Обращайте внимание на запуск интерактивных оболочек (bash, sh, python) или сетевых утилит (curl, wget, nc) дочерними процессами веб-сервера или процессами FreePBX.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей