ISGroup Conseil en Cybersécurité

CVE-2025-57819 – Sangoma FreePBX : Contournement de l’authentification menant à une injection SQL et à une exécution de code à distance

FreePBX est une interface graphique open-source basée sur le web pour le contrôle et la gestion d’Asterisk. Elle permet aux organisations disposant de moins de compétences techniques ou de ressources d’utiliser Asterisk. CVE-2025-57819 est une vulnérabilité critique de type zero-day qui affecte les versions 15, 16 et 17 de Sangoma FreePBX, en particulier le module endpoints dans les versions antérieures à 15.0.66, 16.0.89 et 17.0.3. Le score CVSS v4 attribué est de 10,0 (Critique), reflétant le niveau maximal d’exploitabilité et d’impact.

ProduitSangoma FreePBX
Date09/09/2025 13:14:37

Résumé technique

La vulnérabilité provient d’une désinfection insuffisante des entrées fournies par l’utilisateur au sein du module commercial endpoint de FreePBX. Ce défaut permet à des attaquants non authentifiés de contourner les mécanismes d’authentification, obtenant ainsi l’accès à l’interface d’administration de FreePBX et manipulant arbitrairement la base de données sous-jacente. Un tel accès peut être combiné avec d’autres exploits pour obtenir l’exécution de code à distance (RCE), menant à la compromission totale du système.

FreePBX fournit une interface web pour la gestion des actions VoIP, telles que la création d’extensions, la modification des routes d’appel ou l’installation et la suppression de modules. Lorsqu’une action est exécutée via le module endpoints, elle est envoyée à modular.php qui s’exécute sur un serveur central FreePBX et la traduit en requêtes SQL.

En fonctionnement normal, c’est-à-dire lorsque les requêtes sont envoyées via l’interface web, elles sont correctement désinfectées ; cependant, l’envoi direct de requêtes à modular.php contourne le niveau de désinfection. Cela signifie qu’un attaquant peut construire des requêtes HTTP malformées contenant des charges utiles malveillantes qui sont transmises sans désinfection dans les requêtes SQL. En exploitant cette vulnérabilité, l’attaquant peut manipuler la logique de la base de données, obtenant une injection SQL et, finalement, le contournement de l’authentification.

Recommandations

  1. Correction immédiate (Patching) : Mettre à jour le module endpoint vers :
    • FreePBX 15 → 15.0.66
    • FreePBX 16 → 16.0.89
    • FreePBX 17 → 17.0.3
  2. Isoler ou limiter l’accès : Activer des pare-feu s’ils ne sont pas déjà présents et interdire l’accès depuis Internet/zones externes aux interfaces de gestion web.
  3. Recherche d’indicateurs de compromission (IoC) : Vérifier la présence de signes de compromission, notamment :
    • Fichier /etc/freepbx.conf modifié ou manquant
    • Présence d’un script suspect /var/www/html/.clean.sh
    • Vérifier les logs Apache pour des requêtes POST vers modular.php ; remontant au moins au 21 août
    • Vérifier les logs Asterisk pour des appels vers l’extension 999 ; remontant au moins au 21 août
    • Examiner les logs et les tables de MariaDB/MySQL pour des entrées MACD d’utilisateurs inconnus dans la table ampusers ; en particulier pour un nom d’utilisateur suspect ampuser

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *