FreePBX作为基于著名开源通信服务器Asterisk之上的私有分支交换系统,因其稳定性和灵活性广受全球企业、呼叫中心和服务提供商的青睐。然而,2025年下半年,一项编号为CVE-2025-57819的零日安全漏洞被揭秘且已被实际利用,给大量暴露于互联网的FreePBX服务器带来严重威胁。这一漏洞凭借其极高的CVSS评分10.0,显示出极端危险性和广泛影响面。漏洞利用的核心在于FreePBX管理员控制面板(ACP)暴露于公共网络,并存在用户输入缺乏有效过滤和净化的安全缺陷,攻击者得以绕过认证机制,进一步实施恶意数据库操作甚至远程执行代码,进而完全掌控目标系统。受影响的版本主要涵盖FreePBX 15低于15.0.66、FreePBX 16低于16.0.89以及最新的FreePBX 17版本低于17.0.3。自2025年8月21日起,攻击活动已经在多个搭载较旧版本FreePBX的系统中被监测到,特别是没有启用有效IP访问过滤或访问控制列表的环境异常脆弱。
攻击路径通过FreePBX商业模块“endpoint”对用户请求中的数据净化缺陷予以利用。从初步未经认证的访问开始,攻击者逐步掌控系统底层权限,最终将权限提升至root级别,实现对服务器的全面控制。值得关注的是,攻击者常借助这一漏洞植入后门程序及清理痕迹的脚本文件,如“/var/www/html/.clean.sh”,并修改关键配置文件来隐藏痕迹。系统日志中存在针对“modular.php”的可疑POST请求、异常呼叫记录至特定分机9998以及数据库中的未知或异常用户均为典型妥协迹象。作为应急响应,Sangoma官方安全团队迅速发布补丁,强烈建议所有用户尽快升级至官方发布的最新版本,同时关闭或严格限制管理员控制面板的网络访问权限。安全专家提醒,面对已知被利用且处于攻击中的漏洞,立即断开可能被滥用的连接至关重要,拖延只会扩大安全事件的影响范围。
美国网络安全和基础设施安全局(CISA)亦将该漏洞列入“已知利用漏洞”目录,要求联邦相关机构在2025年9月19日前完成修复工作,显示出事件的高度紧迫性。更有安全研究机构watchTowr发布详细的漏洞分析,指出FreePBX核心代码存在允许预认证时加载指定.php文件的设计缺陷,攻击者通过调用特定模块文件如“/admin/ajax.php”发起SQL注入攻击,从而注入恶意命令进入调度任务表“cron_jobs”。如此一来,攻击者能够伪造合法的调度任务,长期保持对系统的完全遥控,此类攻击链展示了极其严峻的安全形势。尽管官方补丁针对SQL注入问题进行了修复,但未覆盖授权绕过的核心设计漏洞,意味着潜在风险依然存在,需要后续持续关注并深度防御。对于广大FreePBX用户来说,除了尽快应用补丁,建议全盘检查系统(包括日志文件和数据库)是否存在恶意文件和账户,排除被植入后门的可能;同时加强网络层面的访问限制与监控,确保管理接口不被无关网络公开访问;使用多因素认证和复杂密码来强化账户安全,减少风险发生概率。随着通信系统逐渐向云端和混合架构演进,FreePBX等关键基础设施的安全显得尤为重要。
攻击组织和勒索软件团伙频频盯上此类平台,试图通过获取控制权进行电话诈骗、发送恶意呼叫或通过系统漏洞植入勒索程序获取巨大利益。企业应当将安全意识纳入运维核心,建立完善的漏洞响应和威胁情报机制,做到及时响应与补救。安全防护不仅限于技术层面,合规审计和员工培训同样是降低漏洞被利用的有效保障。综上而言,此次FreePBX零日漏洞事件提醒所有使用该平台的机构必须正视自身安全态势,积极采纳厂商发布的补丁并采取连锁防护措施。只有多维度加强安全管理,才能在日益复杂多变的网络攻击环境中守护业务连续性与用户信息安全。随着官方持续发布安全更新和社区安全力量的不断介入,有望逐步封堵漏洞,保障FreePBX平台回归稳定可靠的运行状态。
展望未来,开源通信系统的安全研发需得到更大投入,同时用户需保持对安全公告的敏感度,做到未雨绸缪,方能有效抵御黑客威胁。
