Lỗ hổng FreePBX đang bị khai thác, nhiều doanh nghiệp có nguy cơ mất dữ liệu

[WhiteHat Team]

Nhiều hệ thống tổng đài doanh nghiệp đang bị tin tặc chiếm quyền điều khiển, khai thác trái phép do một lỗ hổng chưa được vá (zero-day) trong phần mềm FreePBX.

​

FreePBX là một nền tảng tổng đài điện thoại mã nguồn mở rất phổ biến, được xây dựng trên nền Asterisk. Nó thường được dùng bởi doanh nghiệp, trung tâm chăm sóc khách hàng và nhà cung cấp dịch vụ để quản lý cuộc gọi, nhánh nội bộ, định tuyến SIP và các chức năng thoại khác.

Tuy nhiên, nếu giao diện quản trị của FreePBX (ACP - Admin Control Panel) bị để lộ ra Internet, hệ thống có thể trở thành “miếng mồi ngon” cho tin tặc.

Từ ngày 21/8/2025, nhóm bảo mật của Sangoma phát hiện nhiều cuộc tấn công khai thác lỗ hổng zero-day trong FreePBX, nhắm vào các hệ thống có giao diện quản trị công khai trên Internet.

• Kẻ tấn công có thể chiếm quyền điều khiển hệ thống và chạy bất kỳ lệnh nào dưới quyền người dùng asterisk.
• Ít nhất 3.000 nhánh SIP và 500 đường truyền (trunk) đã bị ảnh hưởng, theo chia sẻ từ một nạn nhân trên diễn đàn FreePBX.
• Lỗ hổng hiện đang bị khai thác rộng rãi, nhưng chi tiết kỹ thuật cụ thể vẫn chưa được công bố.

Nguyên nhân dẫn đến lỗ hổng này được cho là liên quan đến một mô-đun quản lý thiết bị đầu cuối (endpoint module), vốn được cài sẵn trên nhiều hệ thống FreePBX bản 16 và 17.

• Những hệ thống nào có mô-đun này và có giao diện quản trị được mở ra Internet đang có nguy cơ rất cao bị xâm nhập.
• Tin tặc không cần mật khẩu, chỉ cần truy cập được vào giao diện này là có thể khai thác lỗ hổng.

Sangoma đã phát hành bản vá tạm thời dạng EDGE module để kiểm tra trước khi ra mắt bản vá chính thức.

Đây là lỗ hổng rất nghiêm trọng, vì:

• Ảnh hưởng trực tiếp đến giao tiếp thoại và hoạt động kinh doanh.
• Có khả năng bị lợi dụng để gọi quốc tế trái phép, gây thiệt hại tài chính.
• Tin tặc có thể chiếm toàn quyền điều khiển PBX, chèn mã độc, nghe lén, hoặc mở đường cho tấn công sâu hơn vào hệ thống nội bộ doanh nghiệp.

Phạm vi ảnh hưởng có thể toàn cầu, do FreePBX được dùng rộng rãi bởi cả doanh nghiệp nhỏ lẫn nhà cung cấp dịch vụ lớn.

Nếu bạn đang sử dụng FreePBX, các chuyên gia khuyến cáo:​

1. Kiểm tra ngay lập tức xem giao diện quản trị có đang bị công khai ra Internet hay không.
2. Nếu có, ngắt truy cập ngay lập tức từ bên ngoài, chỉ cho phép IP tin cậy (qua firewall).
3. Cài bản vá EDGE (nếu được), sử dụng các lệnh sau:
   • FreePBX v16/v17:
     "fwconsole ma downloadinstall endpoint --edge"
   • PBXAct v16:
     "fwconsole ma downloadinstall endpoint --tag 16.0.88.19"
   • PBXAct v17:
     "fwconsole ma downloadinstall endpoint --tag 17.0.2.31"
4. Kiểm tra các chỉ dấu tấn công (IOC) như đã nêu ở trên.
5. Nếu phát hiện bị xâm nhập, khôi phục từ bản sao lưu trước ngày 21/8, thay đổi toàn bộ mật khẩu SIP, admin và kiểm tra hóa đơn gọi điện bất thường.

Vụ việc lần này là hồi chuông cảnh báo về việc không nên để giao diện quản trị quan trọng lộ ra Internet, nhất là với các hệ thống nhạy cảm như tổng đài điện thoại. Sangoma đang nỗ lực phát hành bản vá chính thức, nhưng người dùng cần hành động ngay lập tức để hạn chế rủi ro. Nếu bạn là quản trị viên hệ thống, hãy kiểm tra và củng cố bảo mật ngay hôm nay, đừng chờ đến khi có sự cố mới “chữa cháy”.

Theo Bleeping Computer​