Một lỗ hổng FreePBX nghiêm trọng dạng SQL injection, định danh CVE-2025-57819, đang bị tin tặc khai thác tích cực.

Khai thác này nhằm mục đích sửa đổi cơ sở dữ liệu và đạt được thực thi mã tùy ý (remote code execution) trên các hệ thống dễ bị tổn thương.

Tổng quan về Lỗ hổng CVE-2025-57819

Lỗ hổng này ảnh hưởng đến nền tảng PBX mã nguồn mở phổ biến, cung cấp giao diện quản trị dựa trên web để quản lý các hệ thống VoIP Asterisk.

Tất cả các phiên bản được hỗ trợ của FreePBX, bao gồm FreePBX 15, 16 và 17, đều bị ảnh hưởng.

Bản chất của SQL Injection

Lỗ hổng SQL injection nằm trong bộ xử lý AJAX của module endpoint, cụ thể tại endpoint /admin/ajax.php.

Tham số “brand” tại đây thiếu cơ chế làm sạch đầu vào (input sanitization) phù hợp, cho phép tin tặc tiêm mã độc.

Cơ chế Khai thác và Tấn công Mạng

Tin tặc khai thác lỗ hổng FreePBX này bằng cách tạo các yêu cầu độc hại.

Những yêu cầu này trực tiếp tiêm các lệnh SQL vào cơ sở dữ liệu FreePBX.

Một yêu cầu tấn công điển hình nhắm vào tệp ajax.php với các tham số được chế tạo đặc biệt.

Các tham số này bao gồm các payload SQL injection đã được mã hóa.

Chèn Cron Job Độc hại

Lỗ hổng cho phép tin tặc chèn các mục tùy ý vào bảng cơ sở dữ liệu cron_jobs.

FreePBX sử dụng bảng này để quản lý các tác vụ theo lịch trình.

Bằng cách thao túng bảng này, tin tặc có thể lên lịch cho các lệnh độc hại tự động thực thi.

Điều này giúp đạt được khả năng thực thi mã liên tục trên hệ thống mục tiêu.

Tạo Web Shell và Thực thi Lệnh

Kỹ thuật khai thác cho thấy sự hiểu biết sâu sắc về kiến trúc nội bộ và cấu trúc cơ sở dữ liệu của FreePBX.

Các nhà nghiên cứu bảo mật đã quan sát thấy những nỗ lực khai thác đang diễn ra, vượt xa các kịch bản lạm dụng PBX truyền thống.

Trong khi các cuộc tấn công mạng PBX truyền thống tập trung vào cuộc gọi trái phép hoặc lừa đảo cước, những cuộc tấn công phức tạp này nhắm đến việc chiếm quyền kiểm soát toàn bộ hệ thống.

Các payload tấn công được quan sát tạo ra các PHP web shell cung cấp khả năng thực thi lệnh từ xa trên máy chủ bên dưới.

Một cuộc tấn công điển hình tạo ra một tệp PHP được mã hóa Base64 chứa các lệnh chẩn đoán và tiêu đề proof-of-concept chỉ ra mã định danh CVE.

Tệp độc hại này bao gồm cơ chế tự xóa và thực thi các lệnh hệ thống như uname -a để thu thập thông tin hệ thống.

Điều thú vị là cơ chế duy trì cron job làm cho việc tự xóa tệp trở nên hơi thừa, vì tác vụ đã lên lịch sẽ tạo lại payload mỗi phút.

# Ví dụ về PHP web shell được mã hóa Base64 (minh họa)
// Thay thế YOUR_BASE64_PAYLOAD với chuỗi thực tế
$payload = base64_decode('YOUR_BASE64_PAYLOAD');
eval($payload);

// Ví dụ lệnh uname -a
uname -a

Ảnh hưởng và Rủi ro Bảo mật

Lỗ hổng đặt ra các rủi ro bảo mật nghiêm trọng vượt xa khả năng khai thác PBX truyền thống.

Các tổ chức đang chạy các phiên bản FreePBX dễ bị tổn thương phải đối mặt với nguy cơ rò rỉ dữ liệu, chiếm quyền hệ thống và truy cập trái phép vào toàn bộ cơ sở hạ tầng viễn thông của họ.

Nguy cơ Remote Code Execution và Chiếm Quyền Kiểm Soát

Tin tặc có thể tận dụng khả năng sửa đổi cơ sở dữ liệu để tạo tài khoản backdoor.

Họ cũng có thể thay đổi các quy tắc định tuyến cuộc gọi, truy cập các bản ghi chi tiết cuộc gọi và có khả năng xâm nhập vào các tài nguyên mạng khác.

Khả năng thao túng cơ sở dữ liệu cho phép tin tặc chèn các cron job độc hại tồn tại qua các lần khởi động lại hệ thống.

Điều này làm cho việc phát hiện và khắc phục trở nên khó khăn.

Hơn nữa, khả năng thực thi mã PHP tùy ý thông qua giao diện web cung cấp cho tin tặc quyền kiểm soát rộng rãi đối với hệ thống FreePBX và có khả năng cả máy chủ Linux bên dưới.

Biện pháp Khắc phục và Bảo vệ An Ninh Mạng

Các tổ chức nên xem xét ngay lập tức các bản ghi chi tiết cuộc gọi và hóa đơn điện thoại để tìm dấu hiệu gian lận cước hoặc cuộc gọi quốc tế trái phép.

Sangoma, nhóm phát triển FreePBX, đã phát hành các bản vá bảo mật vào ngày 28 tháng 8 năm 2025, giải quyết lỗ hổng này trên tất cả các phiên bản được hỗ trợ.

Cập nhật Bản vá Khẩn cấp

Các tổ chức phải cập nhật ngay lập tức các cài đặt FreePBX của mình bằng cách sử dụng các quy trình cập nhật mô-đun tiêu chuẩn.

Việc này có thể thực hiện thông qua Bảng điều khiển quản trị viên (Administrator Control Panel) hoặc giao diện dòng lệnh (CLI).

Các bản cập nhật mô-đun endpoint có sẵn thông qua các kho ổn định cho các phiên bản 15, 16 và 17.

# Cập nhật FreePBX qua CLI (ví dụ)
fwconsole ma upgradeall
fwconsole reload

Triển khai Kiểm soát An Ninh Mạng

Ngoài việc vá lỗi, các tổ chức nên triển khai các kiểm soát an ninh mạng ở cấp độ mạng để hạn chế quyền truy cập quản trị.

Mô-đun FreePBX Firewall nên được cấu hình để giới hạn quyền truy cập bảng quản trị chỉ cho các địa chỉ IP đáng tin cậy.

Điều này giúp loại bỏ việc tiếp xúc với internet công cộng.

Kiểm toán Hệ thống và Phản ứng Sự cố

Các nhóm bảo mật nên tiến hành kiểm toán hệ thống kỹ lưỡng.

Việc này bao gồm kiểm tra nhật ký Apache để tìm các yêu cầu modular.php đáng ngờ, xem xét bảng cơ sở dữ liệu cron_jobs để tìm các mục nhập trái phép.

Đồng thời, cần xác minh rằng không có tệp độc hại nào tồn tại trong thư mục gốc của web.

Các tổ chức phát hiện bằng chứng về sự xâm nhập nên tuân theo các quy trình phản ứng sự cố toàn diện, bao gồm khôi phục hệ thống từ các bản sao lưu sạch.

Cần thực hiện xoay vòng mật khẩu cho tất cả các tài khoản và phân tích pháp y các nhật ký cuộc gọi và hồ sơ thanh toán.

Việc công bố lỗ hổng và các hoạt động khai thác tích cực nhấn mạnh tầm quan trọng của việc duy trì các bản vá bảo mật hiện hành và triển khai các chiến lược phòng thủ đa lớp cho cơ sở hạ tầng viễn thông. Để biết thêm thông tin về các lỗ hổng bảo mật, bạn có thể tham khảo NIST National Vulnerability Database.