FreePBX SQL Injection Vulnerability Leads to Database Tampering
2025/10/08 gbhackers — FreePBX に存在する深刻な SQL インジェクションの脆弱性 CVE-2025-57819 が攻撃者により悪用され、データベースの改竄や脆弱なシステム上での任意のコード実行が引き起こされている。この脆弱性が影響を及ぼす範囲は、FreePBX のサポート対象バージョン 15/16/17 となる。FreePBX は人気のオープンソース PBX プラットフォームであり、Asterisk VoIP システムを管理する Web インターフェイスを提供している。
この SQL インジェクション脆弱性は、エンドポイント・モジュールの AJAX ハンドラーに、具体的には “/admin/ajax.php” に存在し、 “brand” パラメータの入力が適切にサニタイズされない状態にある。この欠陥を突く攻撃者は、SQL コマンドの作成を介して、FreePBX データベースに悪意のリクエストを挿入できる。
典型的な攻撃リクエストは “ajax.php” ファイルを標的とし、エンコードされた SQL インジェクション・ペイロードを取り込む、特別に細工されたパラメータを介して実行される。具体的に言うと、この脆弱性を悪用する攻撃者は、FreePBX がスケジュールされたタスク管理に使用する、”cron_jobs” データベース・テーブルに任意のエントリを挿入できる。
その結果として、このテーブルを操作する攻撃者は、悪意のコマンドを自動的に実行するようにスケジュールを設定し、標的システム上での永続的なコード実行を実現できる。
このエクスプロイト手法が示すのは、FreePBX の内部アーキテクチャとデータベース構造に対する高度な理解である。
実際のエクスプロイト・キャンペーン
セキュリティ研究者たちが観測しているのは、典型的な PBX の悪用シナリオを超えた、活発なエクスプロイトの試行である。従来の PBX 攻撃は、不正な通話/発信者番号のなりすまし/通話料金詐欺に重点を置くものだったが、今回の高度な攻撃はシステム全体の侵害を狙っている。
観察された攻撃ペイロードは、基盤となるサーバーでリモート・コマンド実行機能を提供するための PHP Web シェルを作成するものだ。代表的な攻撃では、診断コマンドと CVE 識別子を示す PoC ヘッダーを取り込んだ、Base64 でエンコードされた PHP ファイルが作成される。
<?php header(‘x_poc: CVE-2025-57819’); echo shell_exec(‘uname -a’); unlink(__FILE__); ?>
この悪意のファイルには、”uname -a” などのシステム・コマンドを実行してシステム情報を収集した後に発動する、自己削除のメカニズムも含まれている。興味深いことに、cron ジョブの永続化メカニズムにより、スケジュールされたタスクのペイロードが1分ごとに再作成されるため、ファイルの自己削除は冗長なのかもしれない。
この脆弱性がもたらすセキュリティ・リスクは、従来の PBX 悪用をはるかに超える深刻なレベルとなる。脆弱な FreePBX インスタンスを実行している組織は、データ漏洩/システム侵害に加えて、通信インフラ全体への不正アクセスの危険にさらされる可能性がある。
具体的には、データベースの変更機能の悪用により、バックドア・アカウントの作成/通話ルーティング・ルールの変更/通話詳細記録へのアクセスなどが生じ、場合によっては他のネットワーク・リソースへの侵入に至る可能性がある。
このデータベース操作機能を悪用する攻撃者は、システムの再起動後も存続する悪意のある cron ジョブの挿入を可能にするため、検出と修復はきわめて困難になる。
さらに、Webインターフェイスを介した任意の PHP コード実行が可能になるため、FreePBX システムだけではなく、基盤となる Linux サーバも攻撃範囲となる。
ユーザー組織にとって必要なことは、通話詳細記録と電話料金請求書の迅速な確認であり、不正な国際通話や詐欺の兆候を精査することだ。
緩和策
FreePBX の開発チームである Sangoma は、2025年8月28日にセキュリティ・パッチをリリースし、サポート対象の全バージョンにおいて脆弱性 CVE-2025-57819 を修正している。
ユーザー組織にとって必要なことは、管理者用コントロール・パネルまたはコマンド・ライン・インターフェイスから、標準のモジュール更新手順を介して、FreePBX を直ちに更新することである。このエンドポイント・モジュールの更新は、バージョン 15/16/17 の安定版リポジトリから入手できる。
パッチを適用した後には、ネットワーク・レベルのセキュリティ制御を導入し、管理者アクセスを制限する必要がある。
FreePBX ファイアウォール・モジュールにおいては、管理者パネルへのアクセスを信頼できる IP アドレスのみに制限し、パブリック・インターネットへの露出を排除する必要がある。
セキュリティ・チームにとって必要なことは、Apache ログで疑わしい “modular.php” リクエストの有無を調べ、cron_jobs データベース・テーブルで不正なエントリを確認し、Web ルート・ディレクトリに悪意のファイルが存在しないことを確認するなど、徹底的なシステム監査を実施することだ。
侵害の証拠を発見した組織は、クリーンなバックアップからのシステム復旧/全アカウントのパスワード・ローテーション/通話記録と課金記録のフォレンジック分析などの、包括的なインシデント対応手順に従う必要がある。
この脆弱性の公開と積極的な悪用が浮き彫りにするのは、通信インフラにおける最新のセキュリティ・パッチの維持と、多層化された防御戦略の実施の重要性である。
FreePBX の CVE-2025-57819 は、”/admin/ajax.php” の "brand" パラメータが適切にサニタイズされず、SQL インジェクションを引き起こすものです。攻撃者は cron_jobs テーブルへ悪意あるエントリを挿入し、Base64 化された PHP ウェブシェルを定期的に再作成する cron ジョブを仕込むことで、永続化や任意コマンド実行を実現しています。ペイロードが自己削除する仕組みや、通話ルールやアカウント情報の書き換えにつながる点は、DB とスケジュール処理が直接結び付く内部構造への理解を悪用していることを示すと、この記事は指摘しています。よろしければ、2025/08/28 の「FreePBX のゼロデイ脆弱性 CVE-2025-57819:インターネット遮断が推奨される」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.