FreePBX のゼロデイ脆弱性 CVE-2025-57819：インターネット遮断が推奨される

FreePBX Servers Hit by 0-Day Exploit, Disable Internet Access Advised

2025/08/28 gbhackers — FreePBX の商用 Endpoint Manager モジュールに深刻なゼロデイ脆弱性が発見されたことで、ユーザー組織の管理者たちに求められるのは、自社システムへのパブリック・インターネット・アクセスを直ちに無効化することである。Sangoma FreePBX Security Team が確認したのは、インターネットに Administrator Control Panel が公開されているシステムにおいては、攻撃者が制御するエクスプロイト・コードにより未認証でのリモート・コード実行が可能になることだ。そのため、8月26日の時点で Sangoma FreePBX 緊急アドバイザリを公開し、その後のロックダウン対策の継続を促すフォローアップを発表した。

Sangoma によると、この脆弱性が影響を及ぼす範囲は、Endpoint Manager モジュールがインストールされ、ポート 80 または 443 経由でアクセス可能な、 FreePBX バージョン 16／17 となる。

この脆弱性を悪用されると、Web サーバ・ユーザーによる権限昇格と、リモート・コマンド実行が引き起こされ、脅威アクターによるクリーンアップ・スクリプトの展開や、永続的なバックドアのインストール／通話詳細記録の窃取が可能となる。

現時点において、広く公表された攻撃はないが、コミュニティからの報告によると、最初の侵害は 8月21日に始まり、標的とされた組織の運用担当者は、Web インターフェイス障害と modular.php に対する異常な Apache POST リクエストに気付いたという。

Sangoma のセキュリティ・チームは、最初のアドバイザリで、36 時間以内に安定した修正プログラムを展開すると説明し、テスト用として EDGE チャネルのアップデートを提供した。

FreePBX v16 ユーザーに対しては、 “fwconsole ma downloadinstall endpoint –tag 16.0.88.19” を、v17 管理者に対しては “fwconsole ma downloadinstall endpoint –tag 17.0.2.31” の適用が推奨され、PBXAct アプライアンスに対して同じ更新コマンドの使用が促されている。

EDGE プレリリース版を利用している場合には、安定版リリースの公開を待って、メニューの Admin → Module Admin から、該当するモジュールのバージョン確認が推奨される。

オペレーターとして必要なことは、”/var/www/html” 内に悪意の “.clean.sh” ファイルが存在しないことの確認と、”/etc/freepbx.conf” の整合性をチェックに加えて、8月2 日以降のWeb サーバ・ログに残された、 modular.php への POST リクエストの調査である。

また、Asterisk ログで、内線 9998 への呼び出し、MariaDB ログで予期しない ampuser エントリを確認する必要がある。

これらの兆候が検出された場合には、完全なフォレンジック・スナップショットの取得、もしくは、侵害前の既知のクリーン・バックアップからの再インストールが推奨される。

即時性の高い封じ込め対策として挙げられるのは、FreePBX ファイアウォール・モジュールを使用することで、Administrator Control Panel へのアクセスを信頼できる IP アドレスに制限すること、そして、PBX を VPN または分離された管理 VLAN の背後に配置することだ。

Endpoint Manager をインストールしていない場合であれば、リスクは低いと考えられるが、エクスポージャーを監査して、不正なモジュールの存在と状況について確認する必要がある。

Sangoma チームが推奨するのは、封じ込め対策を講じた上での、完全な復旧手順の実施である。具体的には、攻撃前のバックアップをオフライン・メディアに保存し、モジュールを更新した新しい FreePBX インスタンスを導入し、新しいホストにコンフィグレーションを復元する方法である。

また、SIP トランクやボイスメール PIN などを含む、すべての認証情報をローテーションする必要がある。最新のバックアップが存在しない場合には、一時的なクリーンアップで運用を維持する方法もあるが、強く推奨されるのは完全な再インストールである。

包括的なセキュリティ・リリースが、間もなく提供されると見込まれるため、管理者が最優先すべきは、インターネット・アクセスを遮断し、エンドポイント・モジュールのパッチが EDGE テストを完了し次第、迅速に適用することである。

Sangoma FreePBX セキュリティチームは、このインシデントを引き続き監視しており、調査が終了した後に、正式な CVE と事後分析を公開する予定である。

FreePBX の Endpoint Manager モジュールに、ゼロデイ脆弱性が発見されました。この問題の原因は、Web インターフェイスの不十分なアクセス制御により、入力を正しく検証できていないことにあるとされます。その結果として、ポート 80／443 で公開される管理パネルを介して、未認証の攻撃者であってもリモート・コード実行が可能な状況が生まれています。ご利用のチームは、十分に ご注意ください。なお、この記事では CVE が未採番となっていますが、オリジナルの情報を提供する FreePBX Community では、CVE-2025-57819  の記載があり、NVD とも一致していました。よろしければ、PBX で検索も、ご参照ください。