FreePBX Güvenlik Uyarısı
Sangoma FreePBX Güvenlik Ekibi, 21 Ağustos’tan bu yana aktif bir şekilde sömürülen bir zero-day zafiyet konusunda kullanıcıları uyarıyor. Bu zafiyet, Yönetici Kontrol Paneli (ACP) halk erişimine açık olan sistemlerde bulunuyor. FreePBX, Asterisk üzerine inşa edilmiş açık kaynaklı bir PBX (Özel Santral) platformudur ve işletmeler, çağrı merkezleri gibi birçok iletişim çözümünde yaygın olarak kullanılmaktadır.
Sangoma’nın resmi forumunda yapılan duyuruda, bu zafiyetin, alınan önlemlere rağmen hackerlar tarafından aktif olarak kullanıldığı bilgisi verilmiştir. Güvenlik Ekibi, bu konuda bir yamanın beklenildiğini ve bunun iç koşullara göre 36 saat içerisinde dağıtılacağını belirtti. Kullanıcılara, Firewall modülü kullanarak yalnızca bilinen güvenilir sunuculardan erişim sağlamaları önerildi.
Güvenlik Açığı ve Etkileri
Sangoma, mevcut 16 ve 17 sürümündeki sistemlerin etkilenebileceğini belirtmiştir. Bu, özel endpoint modülü yüklü olan ve yönetim paneli dış dünyaya doğrudan açılmış sistemler için geçerlidir. Kullanıcılar, EDGE modül güncellemesi ile bu sorunun üzerine gitmenin yollarını aramaktadır.
Uzmanlar, bu güncellemeyi yüklemek için aşağıdaki komutları kullanabileceklerini belirtmişlerdir:
FreePBX kullanıcıları için:
bash
$ fwconsole ma downloadinstall endpoint –edge
PBXAct v16 kullanıcıları için:
bash
$ fwconsole ma downloadinstall endpoint –tag 16.0.88.19
PBXAct v17 kullanıcıları için:
bash
$ fwconsole ma downloadinstall endpoint –tag 17.0.2.31
Ancak bazı kullanıcılar, geçerli bir destek sözleşmesi olmayanların EDGE güncellemesini yüklemekte zorluk yaşayabileceklerini vurgulamaktadır. Eğer bu güncellemeyi yükleyemiyorsanız, tam güvenlik güncellemesi çıkana kadar ACP’yi koruma altına almanız önerilmektedir.
Sunucuların Saldırıya Uğraması
Duyurunun ardından, çok sayıda FreePBX müşterisi, sunucularının bu zafiyet aracılığıyla saldırıya uğradığını bildirmiştir. Bir kullanıcı, altyapılarındaki birden fazla sunucunun compromet olduğunu ve yaklaşık 3,000 SIP uzantısı ile 500 trunk üzerinde etki yarattığını belirtmiştir.
Kullanıcılar, saldırı sonrası yöneticilik erişimini kilitlediklerini ve sistemlerini saldırı öncesi bir duruma geri döndürdüklerini bildirmiştir. Ancak, saldırının kapsamının belirlenmesinin kritik önem taşıdığına dikkat çekmişlerdir.
Başka bir kullanıcı, Reddit üzerinden yaptığı açıklamada, “Kişisel PBX’im de etkilendi. Bu zafiyet, saldırganın Asterisk kullanıcısı olarak izin verilen herhangi bir komutu çalıştırmasına olanak tanıyor” demiştir.
Sangoma, sömürüye uğrayan zafiyetle ilgili henüz detay paylaşmamış olsa da, kullanıcılarına sunucu güvenliğini kontrol edebilecekleri güvenlik göstergeleri sunmuştur. Bu göstergeler aşağıdaki gibidir:
- /etc/freepbx.conf yapılandırma dosyasının eksik ya da değiştirilmiş olması.
- Saldırganlar tarafından yüklenmiş olması muhtemel /var/www/html/.clean.sh shell betiği varlığı.
- modular.php için şüpheli Apache log girişleri.
- Asterisk loglarında, 21 Ağustos’a kadar uzanan 9998 uzantısına yapılan anormal aramalar.
- MariaDB/MySQL üzerindeki ampusers tablosunda yetkisiz girişler.
Eğer bir sunucunun elleştirilmiş olduğuna dair bir bulgu varsa, Sangoma, 21 Ağustos öncesinde alınan yedeklerden geri dönüş yapılmasını ve yamanmış modüllerin yeni sistemlere yüklenmesini tavsiye etmektedir.
Son Kontroller ve Önlemler
Yönetici kullanıcılarının, özellikle uluslararası trafik gibi yetkisiz kullanımlara dair arama kayıtları ve telefon faturaları üzerinden detaylı incelemeler gerçekleştirmeleri gerekmektedir. Eğer ACP arayüzü dışarıya kapalı değilse, sistemin zaten tehlikeye girmiş olabileceği göz önünde bulundurulmalıdır. Bu nedenle, sistemlere dair kapsamlı bir inceleme yapılması ve güvenlik önlemlerinin artırılması kritik öneme sahiptir.
Bu zafiyetin etkilerini azaltmak ve sistemleri güvenli bir hale getirmek için acil bir müdahale gereklidir. Sangoma, bu konuda yeterli önlemleri almayı tavsiye etmektedir.
