Команда безпеки Sangoma FreePBX попередила про нульовий день уразливості (CVE-2025-57819, CVSS 10.0), яка вражає системи з відкритим доступом до панелі адміністратора (ACP) в інтернеті.

Уразливість дозволяє несанкціонований доступ через недостатню фільтрацію даних, введених користувачем, що призводить до маніпуляцій з базою даних та виконання віддаленого коду. Вона впливає на версії: FreePBX 15 до 15.0.66, 16 до 16.0.89 та 17 до 17.0.3. З 21 серпня 2025 року зловмисники почали атакувати системи, особливо ті, де відсутні належні фільтри IP або списки контролю доступу (ACL), використовуючи вразливість у комерційному модулі “endpoint”.

Атаки дозволяють отримати початковий доступ, а згодом — права root на цільових серверах. Експерти підтверджують активну експлуатацію, зокрема встановлення бекдорів. Користувачам рекомендують негайно оновити FreePBX до останніх версій та обмежити публічний доступ до панелі адміністратора. Ознаки компрометації: зміни або відсутність файлу “/etc/freepbx.conf”; наявність файлу “/var/www/html/.clean.sh” (не повинен існувати); підозрілі POST-запити до “modular.php” у логах Apache з 21 серпня 2025; дзвінки на екстеншн 9998 в логах Asterisk (якщо не налаштовано); підозрілі записи користувача “ampuser” у таблиці ampusers.