-
09/04/2020
-
115
-
1.167 bài viết
Lỗ hổng SQL Injection của FreePBX bị khai thác để sửa database và thực thi mã từ xa
Một lỗ hổng SQL injection mang mã CVE-2025-57819 vừa bị phát hiện trên FreePBX (giao diện quản trị web phổ biến cho tổng đài Asterisk), cho phép kẻ tấn công chèn lệnh vào cơ sở dữ liệu và biến thao tác đó thành thực thi mã từ xa (RCE) trên máy chủ tổng đài. Vấn đề đã được ghi nhận là đang bị khai thác tích cực trên Internet.
Kẻ tấn công đã lợi dụng endpoint "ajax.php" bằng cách gửi tham số brand có chuỗi SQL độc hại. Thay vì chỉ ghi dữ liệu bình thường, payload có thể chèn một bản ghi mới vào bảng cron_jobs, trong đó chứa lệnh giải mã base64 để tạo một file PHP web-accessible. Khi cron chạy, file này thực thi lệnh hệ thống (Ví dụ: uname -a) và tự xóa để che dấu dấu vết, roadmap từ thao tác SQL tới quyền thực thi mã đã được chứng minh bằng PoC.
Nguyên nhân cốt lõi là không lọc/sanitize đúng dữ liệu đầu vào và khả năng truy cập quản trị bị bỏ ngỏ, dẫn đến “bypass” xác thực trong một số cấu hình. Do FreePBX thường được triển khai với quyền truy cập web trực tiếp hoặc có cổng mở ra Internet, hậu quả thực tế có thể rất nặng, từ gián đoạn dịch vụ, nghe lén cuộc gọi, lạm dụng để gọi cước cao, đến cài backdoor và chiếm toàn bộ mạng nội bộ.
Các nhánh FreePBX 15/16/17 được liệt kê là bị ảnh hưởng vì exploit đã được công khai (kể cả module Metasploit và script phát hiện), rủi ro cho những hệ thống chưa vá là rất cao.
Các chuyên gia khuyến cáo người dùng, cần:
Kẻ tấn công đã lợi dụng endpoint "ajax.php" bằng cách gửi tham số brand có chuỗi SQL độc hại. Thay vì chỉ ghi dữ liệu bình thường, payload có thể chèn một bản ghi mới vào bảng cron_jobs, trong đó chứa lệnh giải mã base64 để tạo một file PHP web-accessible. Khi cron chạy, file này thực thi lệnh hệ thống (Ví dụ: uname -a) và tự xóa để che dấu dấu vết, roadmap từ thao tác SQL tới quyền thực thi mã đã được chứng minh bằng PoC.
Nguyên nhân cốt lõi là không lọc/sanitize đúng dữ liệu đầu vào và khả năng truy cập quản trị bị bỏ ngỏ, dẫn đến “bypass” xác thực trong một số cấu hình. Do FreePBX thường được triển khai với quyền truy cập web trực tiếp hoặc có cổng mở ra Internet, hậu quả thực tế có thể rất nặng, từ gián đoạn dịch vụ, nghe lén cuộc gọi, lạm dụng để gọi cước cao, đến cài backdoor và chiếm toàn bộ mạng nội bộ.
Các nhánh FreePBX 15/16/17 được liệt kê là bị ảnh hưởng vì exploit đã được công khai (kể cả module Metasploit và script phát hiện), rủi ro cho những hệ thống chưa vá là rất cao.
Các chuyên gia khuyến cáo người dùng, cần:
- Cập nhật FreePBX lên bản vá mới nhất ngay lập tức;
- Nếu không thể vá ngay, cô lập hệ thống khỏi Internet, chặn truy cập tới giao diện quản trị, rà soát bảng cron_jobs và các file PHP lạ trên webroot, thay mật khẩu admin và kiểm tra nhật ký.
- Sau sự cố, nên restore từ bản sao lưu sạch và rà soát toàn bộ hệ thống để loại bỏ hậu mãi.
WhiteHat