A equipa de segurança da Sangoma está a alertar os administradores de sistemas para uma falha de segurança crítica, do tipo 'zero-day', que está a ser ativamente explorada em sistemas FreePBX cujo Painel de Controlo do Administrador (ACP) se encontre acessível através da internet.
Para quem não está familiarizado, o FreePBX é uma popular plataforma de código aberto para centrais telefónicas (PBX), construída sobre o Asterisk. É amplamente utilizada por empresas, call centers e fornecedores de serviços para gerir comunicações de voz, extensões, troncos SIP e o encaminhamento de chamadas.
Falha está a ser ativamente explorada
Num aviso publicado nos fóruns do FreePBX, a equipa de segurança da Sangoma revelou que, desde o dia 21 de agosto, atacantes têm vindo a explorar esta vulnerabilidade 'zero-day' para comprometer sistemas.
A recomendação imediata para todos os utilizadores é limitar o acesso ao painel de administração do FreePBX, utilizando o módulo de firewall para permitir o acesso apenas a partir de endereços IP conhecidos e de confiança.
Desde a publicação do alerta, vários clientes confirmaram que os seus servidores foram comprometidos. "Reportamos que múltiplos servidores na nossa infraestrutura foram comprometidos, afetando aproximadamente 3.000 extensões SIP e 500 troncos", partilhou um cliente. Outro utilizador, no Reddit, afirmou que "o exploit basicamente permite ao atacante executar qualquer comando que o utilizador 'asterisk' tenha permissão para executar".
Como saber se o seu sistema foi comprometido
A Sangoma e os utilizadores afetados partilharam vários indicadores de compromisso (IOCs) que os administradores devem verificar para determinar se um sistema foi explorado. Estes incluem o ficheiro de configuração /etc/freepbx.conf em falta ou modificado, a presença do script de shell /var/www/html/.clean.sh (que se acredita ter sido carregado pelos atacantes) e entradas suspeitas nos logs do Apache para modular.php.
Outros sinais de alerta são chamadas invulgares para a extensão 9998 nos logs do Asterisk, que remontam a 21 de agosto, e a existência de entradas não autorizadas na tabela ampusers da base de dados, especificamente um nome de utilizador suspeito "ampuser".
Solução a caminho, mas com um senão
A equipa já disponibilizou uma correção através do canal EDGE para testes, com o lançamento de uma atualização de segurança oficial agendada para as próximas horas. No entanto, Chris Maj, da Sangoma, adverte: "A correção do módulo EDGE fornecida deve proteger futuras instalações de infeção, mas não é uma cura para sistemas existentes".
Os administradores que desejem testar a versão EDGE podem fazê-lo através dos seguintes comandos: Para utilizadores do FreePBX v16 ou v17: $ fwconsole ma downloadinstall endpoint --edge Para utilizadores do PBXAct v16: $ fwconsole ma downloadinstall endpoint --tag 16.0.88.19 Para utilizadores do PBXAct v17: $ fwconsole ma downloadinstall endpoint --tag 17.0.2.31
É importante notar que alguns utilizadores relataram que, caso o seu contrato de suporte tenha expirado, poderão não conseguir instalar esta atualização antecipada, deixando o sistema desprotegido até ao lançamento oficial. Se for o caso, é crucial bloquear o acesso externo ao painel de administração imediatamente.
Caso se confirme que um servidor foi comprometido, a Sangoma recomenda o restauro a partir de cópias de segurança criadas antes de 21 de agosto, a implementação dos módulos corrigidos em sistemas limpos e a alteração de todas as credenciais do sistema e relacionadas com SIP. É também aconselhável rever os registos de chamadas e as faturas telefónicas em busca de sinais de abuso, como tráfego internacional não autorizado.
Nenhum comentário
Seja o primeiro!