Уязвимость модуля «endpoint» веб-интерфейса управления системами IP-телефонии FreePBX связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к базе данных и выполнить произвольный код
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- проверка наличия конфигурационного файла freepbx.conf путем выполнения следующей команды (отсутствие файла указывает на факт эксплуатации уязвимости):
$ ls -l /etc/freepbx.conf;
- проверка наличия вредоносного файла .clean.sh путем выполнения следующей команды:
$ ls -l /var/www/html/.clean.sh;
- выявление факта обработки вредоносных POST-запросов путем выполнения следующей команды:
$ zgrep modular.php /var/log/{httpd,apache2}/access*;
- проверка журнала Asterisk на предмет выявления вызовов на добавочный номер 9998 (указывает на факт эксплуатации уязвимости) путем выполнения следующей команды:
$ grep 9998 /var/log/asterisk/full*;
- проверка таблиц MariaDB/MySQL на предмет выявления несанкционированных пользователей путем выполнения следующей команды:
$ mysql -e "SELECT * FROM ampusers" asterisk;
- использование средств межсетевого экранирования для ограничения доступа к веб-интерфейсу управления уязвимого программного обеспечения;
- использование средств резервного копирования для обеспечения возможности восстановления системы после эксплуатации уязвимости;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет).
Использование рекомендаций:
https://community.freepbx.org/t/security-advisory-please-lock-down-your-administrator-access/107203
| Балл | 10 — критическая опасность |