'Honderden FreePBX-telefooncentrales gehackt, duizenden nog kwetsbaar'
Aanvallers hebben wereldwijd honderden FreePBX-telefooncentrales gehackt, waaronder achttien in Nederland. Daarnaast missen nog duizenden servers de beveiligingsupdate voor een kritieke kwetsbaarheid die de aanvallers voor het compromitteren van centrales gebruiken, zo stelt The Shadowserver Foundation op basis van eigen onderzoek.
FreePBX is software voor het beheren en configureren van telefooncentrales die op Asterisk VoiP-servers draaien. Onlangs werd bekend dat aanvallers een kritieke kwetsbaarheid misbruikten waar op het moment van de aanvallen nog geen beveiligingsupdate voor beschikbaar was. Het gaat om een beveiligingslek aangeduid als CVE-2025-57819, waardoor een aanvaller zonder geldige inloggegevens als Administrator kan inloggen. Vervolgens is remote code execution en het aanpassen van de database via SQL injection mogelijk.
Misbruik zou op of voor 21 augustus hebben plaatsgevonden, aldus het FreePBX-team. Op 28 augustus verscheen er een beveiligingsupdate, nadat er op 26 augustus een tijdelijke fix beschikbaar was gesteld. Beheerders worden opgeroepen de update te installeren en toegang tot FreePBX Administrator-accounts te beperken tot alleen bekende hosts. Ook is technische informatie gepubliceerd waarmee organisaties kunnen kijken of hun FreePBX-telefooncentrale is gecompromitteerd.
The Shadowserver Foundation is een stichting die geregeld onderzoek doet naar kwetsbare en gecompromitteerde systemen die vanaf internet toegankelijk zijn. Bij de laatste scan werd gekeken naar FreePBX-centrales. Een dag na het uitkomen van de beveiligingsupdate bleek dat 6600 servers toegankelijk vanaf het internet nog kwetsbaar waren, waarvan 147 in Nederland. Het grootste deel van de kwetsbare centrales werd in de Verenigde Staten waargenomen. Verder registreerde The Shadowserver Foundation zo'n vierhonderd gecompromitteerde centrales, waarvan achttien in Nederland. De stichting adviseert beheerders om hun systemen te patchen en op sporen van aanvallers te controleren.
FreePBX is alleen een GUI om Asterisk te managen. Ik zie 3 members. Dat is niet veel.
iemand die gewoon even dacht ik installeer dit op mijn VPS?
Er zijn zoveel mogelijkheden te bedenken.
Updates. Voor beveiliging. In theorie.
Ook voor degenen die nog nooit van firewalls gehoort hebben, zeg maar de meeste organisaties die gewoon (bijna) alles open hebben staan.
ROFLMAO!
Dank, mijn dag is weer goed. Wrebra.
FreePBX is alleen een GUI om Asterisk te managen. Ik zie 3 members. Dat is niet veel.
Ik heb zelf wel eens een code-review gedaan van een veelgebruikte captive portal implementatie
en ik viel zowat van mijn stoel van de resultaten. Binnen een half uur de eerste bug en na nog
een paar uur zoeken een stuk of 20. Dan vraag ik me af, hoe kan dit? Heeft dan ooit niemand meer
gedaan dan die code ophalen, compileren en linken? Het vertrouwen in de kwaliteit van andermans code is veelal misplaatst.
Ook inderdaad een paar man en die elkaar niet scherp hielden met reviews, danwel niet wisten hoe C precies werkt.
Was ik een hacker geweest dan waren nu de rapen wel gaar voor dat 'product'.
Updates. Voor beveiliging. In theorie.
Ook voor degenen die nog nooit van firewalls gehoort hebben, zeg maar de meeste organisaties die gewoon (bijna) alles open hebben staan.
Ja. maar ze hebben vast geluisterd naar de vele 'experts' hier en gedacht dat er niks kon gebeuren omdat het "Linux" is.
En de senior experts vertellen dan nog dat het niet erg omdat "het systeem" (/root) nog niet compromised is.
FreePBX is alleen een GUI om Asterisk te managen. Ik zie 3 members. Dat is niet veel.
Ik heb zelf wel eens een code-review gedaan van een veelgebruikte captive portal implementatie
en ik viel zowat van mijn stoel van de resultaten. Binnen een half uur de eerste bug en na nog
een paar uur zoeken een stuk of 20. Dan vraag ik me af, hoe kan dit? Heeft dan ooit niemand meer
gedaan dan die code ophalen, compileren en linken? Het vertrouwen in de kwaliteit van andermans code is veelal misplaatst.
Ook inderdaad een paar man en die elkaar niet scherp hielden met reviews, danwel niet wisten hoe C precies werkt.
Was ik een hacker geweest dan waren nu de rapen wel gaar voor dat 'product'.
Ik heb ooit een code review gedaan van windows NT. Verschrikkelijk er zit bijna geen nullpointer assert in, vandaar al die hangups.
ROFLMAO!
Dank, mijn dag is weer goed. Wrebra.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?