Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il mondo della telefonia VoIP è finito ancora una volta nel mirino dei criminali informatici. Questa volta tocca a FreePBX, la piattaforma open-source costruita su Asterisk e diffusissima in aziende, call center e provider di servizi.
La Sangoma FreePBX Security Team ha lanciato l’allarme: una vulnerabilità zero-day sta colpendo i sistemi che espongono in rete l’Administrator Control Panel (ACP). E non si tratta di una minaccia teorica: da giorni l’exploit è già attivamente sfruttato, con conseguenze pesanti per chi non ha preso adeguate contromisure.
Secondo le prime segnalazioni, l’exploit permette agli aggressori di eseguire qualsiasi comando con i privilegi dell’utente Asterisk. In altre parole, controllo totale del PBX e possibilità di manipolare configurazioni, deviare chiamate, compromettere trunk SIP e persino generare traffico internazionale non autorizzato.
Un utente del forum FreePBX ha dichiarato:
“Abbiamo riscontrato compromissioni multiple all’interno della nostra infrastruttura, con circa 3.000 estensioni SIP e 500 trunk impattati.”
Non si tratta di un caso isolato: altri amministratori, persino su Reddit, hanno confermato di aver subito la stessa sorte.
Sangoma non ha divulgato i dettagli tecnici della vulnerabilità, ma la community ha condiviso una serie di segnali da cercare nei propri sistemi:
/etc/freepbx.conf mancante o modificato./var/www/html/.clean.sh, caricato dagli attaccanti.modular.php.ampusers del database MariaDB/MySQL, con la comparsa di un utente sospetto ampuser.Chi riscontra anche uno solo di questi IoC deve considerare il proprio sistema già compromesso.
La Sangoma FreePBX Security Team ha rilasciato un fix EDGE per proteggere le nuove installazioni, in attesa della patch ufficiale prevista a stretto giro. Tuttavia, la correzione non risolve i sistemi già infetti.
Comandi per installare l’EDGE fix:
FreePBX v16/v17:
fwconsole ma downloadinstall endpoint --edge
PBXAct v16:
fwconsole ma downloadinstall endpoint --tag 16.0.88.19
PBXAct v17:
fwconsole ma downloadinstall endpoint --tag 17.0.2.31
C’è però un problema non da poco: chi ha un contratto di supporto scaduto rischia di non poter scaricare l’aggiornamento, restando così con il PBX esposto e senza difese.
Gli amministratori che non riescono ad applicare il fix devono bloccare immediatamente l’accesso all’ACP da internet, limitandolo solo a host fidati.
In caso di compromissione, le indicazioni di Sangoma sono chiare:
Esporre pannelli di amministrazione su internet rappresenta un rischio critico che non dovrebbe mai essere sottovalutato. La vicenda FreePBX dimostra come una vulnerabilità zero-day, combinata con configurazioni poco accorte, possa rapidamente trasformarsi in una compromissione su larga scala.
È fondamentale adottare un approccio proattivo: limitare l’accesso agli ACP esclusivamente da host fidati, monitorare costantemente gli indicatori di compromissione e mantenere aggiornati moduli e componenti. Solo così è possibile ridurre l’impatto di minacce che, come in questo caso, possono colpire senza preavviso e con conseguenze rilevanti per la continuità operativa e la sicurezza delle comunicazioni aziendali.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia