ISGroup Consultoría de Ciberseguridad

CVE-2025-57819 – Sangoma FreePBX: Bypass de autenticación que conduce a SQL Injection y ejecución remota de código

FreePBX es una interfaz gráfica de código abierto basada en web para el control y la gestión de Asterisk. Permite a las organizaciones con menos conocimientos técnicos o recursos utilizar Asterisk. CVE-2025-57819 es una vulnerabilidad crítica de tipo zero-day que afecta a las versiones 15, 16 y 17 de Sangoma FreePBX, específicamente al módulo de endpoints en versiones anteriores a 15.0.66, 16.0.89 y 17.0.3. La puntuación CVSS v4 asignada es de 10.0 (Crítica), lo que refleja el máximo nivel de explotabilidad e impacto.

ProductoSangoma FreePBX
Fecha2025-09-09 13:14:37

Resumen técnico

La vulnerabilidad se origina por una sanitización insuficiente de las entradas proporcionadas por el usuario dentro del módulo comercial endpoint de FreePBX. Este defecto permite a atacantes no autenticados eludir los mecanismos de autenticación, obteniendo acceso a la interfaz de administración de FreePBX y manipulando arbitrariamente la base de datos subyacente. Dicho acceso puede combinarse con exploits adicionales para obtener ejecución remota de código (RCE), lo que lleva al compromiso total del sistema.

FreePBX proporciona una interfaz web para la gestión de acciones VoIP, como la creación de extensiones, la modificación de rutas de llamadas o la instalación y eliminación de módulos. Cuando se ejecuta una acción a través del módulo endpoints, esta se envía a modular.php, que se ejecuta en un servidor central de FreePBX y la traduce en consultas SQL.

En el funcionamiento normal, es decir, cuando se envían las solicitudes a través de la interfaz web, las solicitudes se sanitizan adecuadamente; sin embargo, el envío directo de solicitudes a modular.php elude el nivel de sanitización. Esto significa que un atacante puede construir solicitudes HTTP malformadas que contengan cargas útiles (payloads) maliciosas que se pasan sin sanitizar a las consultas SQL. Al aprovechar esta vulnerabilidad, el atacante puede manipular la lógica de la base de datos, obteniendo una inyección SQL y, finalmente, el bypass de la autenticación.

Recomendaciones

  1. Parcheo inmediato: Actualizar el módulo endpoint a:
    • FreePBX 15 → 15.0.66
    • FreePBX 16 → 16.0.89
    • FreePBX 17 → 17.0.3
  2. Aislar o limitar el acceso: Activar firewalls si no están presentes y prohibir el acceso desde Internet/zonas externas a las interfaces de gestión web.
  3. Escaneo de indicadores de compromiso (IoC): Verificar la presencia de signos de compromiso, incluyendo:
    • Archivo /etc/freepbx.conf modificado o ausente
    • Presencia de un script sospechoso /var/www/html/.clean.sh
    • Revisar los registros (logs) de Apache para solicitudes POST a modular.php; retrocediendo al menos hasta el 21 de agosto
    • Revisar los registros de Asterisk para llamadas a la extensión 999; retrocediendo al menos hasta el 21 de agosto
    • Examinar los registros y las tablas de MariaDB/MySQL para entradas MACD de usuarios desconocidos en la tabla ampusers; en particular, un nombre de usuario sospechoso ampuser

[Callforaction-THREAT-Footer]

In