Source:https://thehackernews.com/2025/12/freepbx-authentication-bypass-exposed.html
🛡 概要
FreePBXに複数の深刻な脆弱性が報告され、認証回避や任意コード実行(RCE)に繋がる恐れがあります。Horizon3.aiが2025年9月15日に開発元へ報告し、修正が順次提供されています。対象は以下の通りです:CVE-2025-61675(CVSS 8.6、認証済みSQLi)、CVE-2025-61678(CVSS 8.6、認証済み任意ファイルアップロード)、CVE-2025-66039(CVSS 9.3、AUTHTYPE=webserver時の認証回避)。既知の関連事例としてCVE-2025-57819の悪用報告もあります。既定設定ではAUTHTYPE=webserverは無効ですが、特定設定下で露出するため注意が必要です。
🔍 技術詳細
CVE-2025-61675は、basestation / model / firmware / custom extensionの4種エンドポイントで11パラメータに及ぶ認証済みSQLインジェクション(読み書き)です。攻撃者はDB内容の窃取に加え、設定改ざん(例:ユーザ属性変更、機器プロビジョニング情報の操作)を行える可能性があります。CVE-2025-61678は、firmwareアップロード機能の不備により、有効なPHPSESSID取得後にPHPウェブシェルをアップロードし、アプリ権限で任意コマンドを実行できる問題です(例:/etc/passwdの読み取りなど)。CVE-2025-66039は、Advanced Settingsで「Authorization Type(AUTHTYPE)」がwebserverの場合、偽造したAuthorizationヘッダ(Basic認証相当)で管理画面(Administrator Control Panel)へログインを迂回できる認証回避です。デフォルトでは当該オプションは表示されず、Display Friendly Name / Display Readonly Settings / Override Readonly Settingsの3値がすべてYesのときに表示されます。前提が満たされAUTHTYPE=webserverが有効だと、細工したHTTPリクエストで認証を回避し、ampusersテーブルに不正ユーザを挿入するなどの攻撃が可能となり、結果としてCVE-2025-57819で報告された事象に類似した不正アクセスやRCEに発展します。なお、アップロード経路では有効なユーザ名が不要なケースも観測されており、比較的少ない手順でRCEに到達し得る点が脅威です。
⚠ 影響
– RCEによりPBXサーバの機密情報漏えい(内線資格情報、通話録音、構成ファイル)や改ざん
– 不正通話(通話詐欺/toll fraud)、ボイスメール窃取、発信ルーティングの乗っ取り
– 管理ユーザの不正作成/権限昇格、横展開の踏み台化
– サービス停止(DoS)や事業継続への影響
CVSS: 8.6(CVE-2025-61675/61678)、9.3(CVE-2025-66039)。
🛠 対策
– パッチ適用:CVE-2025-61675/61678は16.0.92・17.0.6(2025-10-14修正)、CVE-2025-66039は16.0.44・17.0.23(2025-12-09修正)。
– AUTHTYPEをusermanagerへ設定し、Override Readonly SettingsはNoに設定。設定反映後は再起動して不正セッションを遮断。現在、認証プロバイダ選択はUIから削除され、fwconsoleによるCLI設定が必要。
– 管理UIの到達制御:VPN必須化、ソースIP制限、管理ポートの外部公開停止。
– アップロード経路の防御:WAFでファイル拡張子・MIME検査、PHP実行不可ディレクトリへの隔離、FIM(改ざん監視)。
– 資格情報の見直し:管理パスワード/トークン更新、不要アカウントの削除。
– 監査と封じ込め:AUTHTYPE=webserverが有効だった場合は完全なコンプロマイズ調査、IoC洗い出し、ログ保全。
📌 SOC視点
– Webアクセスログ:管理系パスへのAuthorization: Basicヘッダの急増、未知IP/ASNからの連続試行、User-Agent異常。
– アプリ/DB監査:ampusersテーブルのINSERT/UPDATE、設定テーブルの不審な変更、予期しないschema変更。
– アップロード痕跡:firmwareアップロード関連リクエスト、Webルート配下への新規PHP/不審ファイル生成、直後のGETリクエストでのコマンド実行パターン。
– EDR/プロセス監視:webサーバプロセス(httpd等)からのシェル起動、ネットワーク外向き接続、権限昇格試行。
– セッション監視:新規PHPSESSIDの大量発行、長時間存続セッションの異常行動。
📈 MITRE ATT&CK
– T1190 Exploit Public-Facing Application(SQLiや脆弱なアップロード機能の悪用に合致)
– T1505.003 Server Software Component: Web Shell(PHPウェブシェル設置と実行)
– T1098 Account Manipulation(ampusersなどアプリ側アカウントの追加/改変)
– T1059 Command and Scripting Interpreter(ウェブシェル経由のOSコマンド実行)
– T1078 Valid Accounts(認証回避や取得済みセッション/資格情報の悪用)
🏢 組織規模別助言
– 小規模(〜50名):クラウドWAFやVPNで管理UIを閉域化。即時アップグレードと外部公開停止。バックアップ取得後に不審変更を巻き戻し。
– 中規模(50〜500名):ステージングで検証後パッチ適用。SIEMにHTTP Authorizationヘッダ監視ルール、DB監査ログ取り込み。アップロードディレクトリの実行権無効化。
– 大規模(500名〜):CABで緊急変更管理。ゼロトラスト境界でPBX管理プレーン分離。EDRのプロセス連鎖監視強化、レッドチームで再発テスト。ベンダ連携でIoC継続収集。
🔎 類似事例
CVE-2025-57819(2025年9月に実害報告)。本件のAUTHTYPE=webserver有効時に成立する挙動は、当該事例と類似の成果(不正ユーザ作成・RCE)に至る点で警戒が必要です。
🧭 次の一手
1) 影響バージョンの即時特定とパッチ適用 2) AUTHTYPE設定・Override Readonly Settingsの是正と再起動 3) ログ/ファイル/プロセスの遡及調査とIoCスキャン 4) 管理UIの閉域化とWAF導入 5) 事後に脆弱性診断と運用ガードレール(変更管理/監査)を整備。次は「FreePBX緊急アップグレードと検証チェックリスト」「PBX管理面のゼロトラスト化手順」を参照してください。
