Włamania przez panele administracyjne
FreePBX, popularna platforma telefonii VoIP oparta na Asterisku, znalazła się w centrum poważnego kryzysu bezpieczeństwa. Od 21 sierpnia administratorzy na całym świecie zaczęli zgłaszać włamania do swoich systemów. Atak dotyczy serwerów, na których panel administracyjny (ACP) był wystawiony do publicznej sieci. Zespół ds. bezpieczeństwa Sangomy ostrzegł, że luka pozwala atakującym uruchamiać dowolne polecenia z uprawnieniami użytkownika systemowego. Innymi słowy – cyberprzestępca mógł nie tylko zmieniać konfigurację PBX, lecz także przejąć pełną kontrolę nad serwerem. Pierwsze zgłoszenia użytkowników wskazują, że włamania nie są odosobnione. Na forach administratorzy relacjonują kompromitację nawet tysięcy numerów wewnętrznych i dziesiątek łączy SIP. W wielu przypadkach serwery musiały być przywracane z kopii zapasowych, a wszystkie konta administracyjne zostały zablokowane do czasu pełnego ustalenia zakresu szkód.
Awaryjna poprawka i rekomendacje
Sangoma zareagowała publikując awaryjną łatkę w wersji EDGE, która może zostać wdrożona natychmiast, choć docelowa aktualizacja została zapowiedziana na kolejne godziny. Producent ostrzega jednak, że instalacja poprawki nie usuwa skutków wcześniejszych infekcji – już naruszone serwery należy przywracać z kopii sprzed ataku. Administratorzy, którzy nie mają aktywnej umowy wsparcia technicznego, zgłaszają problemy z instalacją aktualizacji EDGE. W takich przypadkach rekomendowane jest całkowite zablokowanie dostępu do panelu administracyjnego z publicznego Internetu i ograniczenie go wyłącznie do zaufanych adresów IP, np. poprzez moduł zapory. Eksperci ds. bezpieczeństwa radzą także dokładnie przeanalizować systemy w poszukiwaniu wskaźników kompromitacji. Do najczęściej obserwowanych należy brak pliku konfiguracyjnego freepbx.conf, obecność podejrzanych skryptów w katalogach webowych, nietypowe wpisy w logach Apache oraz podejrzane konta w bazie danych. Administratorzy powinni również zweryfikować billing połączeń, zwłaszcza pod kątem ruchu międzynarodowego, który często jest celem takich ataków. FreePBX jest szeroko stosowany w call-center, firmach usługowych i instytucjach publicznych, dlatego skutki ataku mogą być poważne – od strat finansowych po paraliż obsługi klientów. Sangoma apeluje o natychmiastowe działania i instalację poprawek, ponieważ luka jest aktywnie wykorzystywana, a kolejne systemy są kompromitowane każdego dnia.
