FreePBX: нажми «Позвонить» — получи RCE

Если вы думали, что PBX — это скучно, то FreePBX в 2025 году решил доказать обратное. Проект внезапно выкатил пачку уязвимостей, которые превращают корпоративную телефонию в полноценную точку входа в систему. SQLi, arbitrary file upload и аутентификационный фокус с AUTHTYPE — полный джекпот для любого, кто любит, когда RCE приходит без особых усилий.

Исследователи из Horizon3.ai в сентябре аккуратно постучались к мейнтейнерам FreePBX и сказали: «Ребята, у вас тут всё шьётся». И, как оказалось, не зря. В коде нашли несколько дыр, которые в комбинации выглядят не как баги, а как готовый kill chain.

Начнем с базы. CVE-2025-61675 — это не одна SQL-инъекция, а целый набор. Четыре разных endpoint’а, больше десяти параметров, и всё это позволяет читать и писать напрямую в SQL-базу. basestation, model, firmware, custom extension — звучит как меню в админке, а по факту — как список точек, через которые можно тихо переписать данные, создать нужного пользователя или подготовить почву для следующего шага атаки.

Дальше — классика жанра. CVE-2025-61678. Arbitrary file upload, потому что без него жизнь была бы слишком скучной. Имея валидный PHPSESSID, атакующий может загрузить через firmware upload свой PHP-шелл и дальше делать всё, что душа пожелает. /etc/passwd? Легко. Конфиги? Пожалуйста. Выполнение произвольных команд? Ну а зачем ещё мы здесь собрались.

Но настоящий хедлайнер — CVE-2025-66039. Это уже не просто баг, а почти философия. AUTHTYPE = webserver. В определенной конфигурации FreePBX начинает верить заголовку Authorization так же, как ребенок верит Деду Морозу. Достаточно подделать header — и ты уже в Administrator Control Panel, без логина, без пароля, без лишних вопросов.

Формально разработчики могут сказать: «По умолчанию не уязвимо». И это правда. Чтобы AUTHTYPE webserver вообще появился в интерфейсе, нужно включить три опции в Advanced Settings: Display Friendly Name, Display Readonly Settings и Override Readonly Settings. Но как только это сделано — дверь открыта.

Дальше всё развивается по знакомому сценарию. Атакующий отправляет специально собранные HTTP-запросы, обходит аутентификацию и добавляет своего пользователя прямо в таблицу ampusers. И если вам это кажется знакомым — да, это очень похоже на CVE-2025-57819, который уже активно эксплуатировали в дикой природе осенью 2025 года. История, как говорится, повторяется, только с новым номером CVE.

В Horizon3.ai без лишней дипломатии отметили: эти уязвимости легко эксплуатируются и позволяют как аутентифицированным, так и неаутентифицированным атакующим получить удаленное выполнение кода. Телефония превращается в точку входа в сервер, а дальше — дело техники.

Патчи, к счастью, завезли. SQLi и file upload закрыли в версиях 16.0.92 и 17.0.6 ещё в октябре 2025 года. AUTHTYPE bypass прикрыли позже — в 16.0.44 и 17.0.23, релиз от 9 декабря 2025 года. Но, как это часто бывает, вместе с патчами пришли и оговорки мелким шрифтом.

Опцию выбора провайдера аутентификации убрали из Advanced Settings и теперь предлагают настраивать её вручную через fwconsole. В качестве временной защиты рекомендуют выставить Authorization Type в usermanager, запретить Override Readonly Settings, применить конфигурацию и перезагрузить систему, чтобы выкинуть все подозрительные сессии.

Отдельно разработчики честно предупреждают: если у вас когда-либо был включен webserver AUTHTYPE, систему стоит проверить на компрометацию. Не «на всякий случай», а по-настоящему — логи, файлы, пользователи, cron’ы и всё остальное, что любят оставлять после себя гости без приглашения.

На дашборде теперь даже висит предупреждение, что webserver менее безопасен, чем usermanager. Переводя с корпоративного на человеческий: «Не используйте это, если не хотите проблем». По словам исследователей, уязвимый код всё ещё живёт в проекте и просто прикрыт дополнительными слоями аутентификации. Где-то нужен валидный username, где-то — нет, а file upload вообще позволяет дойти до RCE за пару шагов.

Итог у этой истории простой и немного грустный. FreePBX — это мощная и популярная платформа, которая часто стоит в продакшене, торчит в интернет и администрируется по принципу «один раз настроили — не трогаем». А такие системы особенно любят старые и новые баги, которые превращают IP-телефонию в веб-сервер с root-доступом.

Так что если ваш FreePBX всё ещё думает, что webserver — это нормальный AUTHTYPE, возможно, он уже думает не только за вас.