CVE-2025-57819 – Sangoma FreePBX: Bypass dell’autenticazione che porta a SQL Injection ed Esecuzione di Codice Remoto

FreePBX è un’interfaccia grafica open-source basata su web per il controllo e la gestione di Asterisk. Consente alle organizzazioni con meno competenze tecniche o risorse di utilizzare Asterisk.
CVE-2025-57819 è una vulnerabilità critica di tipo zero-day che interessa le versioni 15, 16 e 17 di Sangoma FreePBX, in particolare il modulo endpoints nelle versioni precedenti a 15.0.66, 16.0.89 e 17.0.3.
Il punteggio CVSS v4 assegnato è di 10,0 (Critico), riflettendo il massimo livello di sfruttabilità e impatto.

Prodotto Sangoma FreePBX
Data 2025-09-09 13:14:37

Riassunto tecnico

La vulnerabilità origina da una sanitizzazione insufficiente degli input forniti dall’utente all’interno del modulo commerciale endpoint di FreePBX. Questo difetto permette ad attaccanti non autenticati di aggirare i meccanismi di autenticazione, ottenendo l’accesso all’interfaccia di amministrazione di FreePBX e manipolando arbitrariamente il database sottostante. Tale accesso può essere combinato con ulteriori exploit per ottenere l’esecuzione di codice da remoto (RCE), portando al totale compromesso del sistema.

FreePBX fornisce un’interfaccia web per la gestione delle azioni VoIP, come la creazione di estensioni, la modifica dei percorsi di chiamata o l’installazione e rimozione di moduli.
Quando viene eseguita un’azione tramite il modulo endpoints, questa viene inviata a modular.php che gira su un server centrale FreePBX e la traduce in query SQL.

Nel normale funzionamento, ossia quando si inviano le richieste tramite l’interfaccia web, le richieste sono opportunamente sanificate; tuttavia, l’invio diretto di richieste a modular.php aggira il livello di sanitizzazione.
Ciò significa che un attaccante può costruire richieste HTTP malformate contenenti payload dannosi che vengono passati senza sanificazione nelle query SQL.
Sfruttando questa vulnerabilità, l’attaccante può manipolare la logica del database, ottenendo una SQL injection e, infine, il bypass dell’autenticazione.

Raccomandazioni

  1. Patching Immediato: Aggiornare il modulo endpoint a:
    • FreePBX 15 → 15.0.66
    • FreePBX 16 → 16.0.89
    • FreePBX 17 → 17.0.3
  2. Isolare o Limitare l’accesso: Attivare firewall se non già presenti e vietare l’accesso da Internet/zone esterne alle interfacce di gestione web.
  3. Scansione per Indicatori di Compromissione (IoC): Verificare la presenza di segni di compromissione, tra cui:
    • File /etc/freepbx.conf modificato o mancante
    • Presenza di uno script sospetto /var/www/html/.clean.sh
    • Controllare i log di Apache per richieste POST a modular.php; risalendo almeno al 21 agosto
    • Controllare i log di Asterisk per chiamate all’estensione 999; risalendo almeno al 21 agosto
    • Esaminare i log e le tabelle di MariaDB/MySQL per voci MACD di utenti sconosciuti nella tabella ampusers; in particolare per uno username sospetto ampuser

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In