Suçlular, 2025'in sonundan bu yana Asterisk telefon sistemleri için açık kaynak kullanıcı arayüzü FreePBX'teki bilinen güvenlik açıklarına saldırıyor. ABD BT güvenlik kurumu CISA, gözlemlenen bu saldırılar konusunda uyardı. Ancak görünüşe göre bu, birçok BT yöneticisinin sistemlerini güncel tutması için yeterli değil: İnternetten yüzlerce virüslü örneğe erişilebilir.
Reklamdan sonra devamını okuyun
Mastodon'daki Shadowserver Vakfı bu konuda uyardı. Geçen hafta ele geçirilen FreePBX örneklerinin dinlediği 900'den fazla IP adresi keşfettiler. BT araştırmacıları, ele geçirilen cihazların büyük olasılıkla CVE-2025-64328 güvenlik açığı kullanılarak kırıldığını açıklıyor; bu güvenlik açığı, CISA uyarısındaki deliklerden birine karşılık geliyor.
FreePBX: Almanya'da da onlarca virüslü sunucu
Shadowserver Foundation'ın güncel verileri, ele geçirilen FreePBX sunucularında yalnızca çok küçük bir azalma olduğunu gösteriyor. Ülkelere göre bakıldığında ABD tartışmasız ve açık ara ilk sırada yer alıyor. Bunu, bu makalenin yazıldığı sırada 38 sızmış FreePBX örneğiyle Brezilya, Kanada ve dördüncü sırada Almanya izliyor.
Fortinet, özellikle “INJ3CTOR3” olarak adlandırılan bir siber grubun, kırık sistemlere “EncystPHP” adlı bir web kabuğu sunmak için Aralık 2025'in başından bu yana FreePBX'teki (FreePBX Endpoint Manager 17.0.2.36 – 17.0.3) CVE-2025-64328 güvenlik açığını kötüye kullandığını gösteren bir analiz sundu.
Saldırganlar veritabanı bilgilerini FreePBX yapılandırma dosyasından okur. Daha sonra cron işlerini ve “ampuser”, “svc_freepbx”, “freepbx_svc” ve diğerleri dahil olmak üzere çeşitli FreePBX kullanıcı hesaplarını sildiler. “EncystPHP” ayrıca diğer web kabuklarını da arar ve bunları silmeye çalışır; Bu aynı zamanda Infostealer'ın yerleştirildiğini gösteren bazı dosyalarda da olur. Son olarak web kabuğu, bir kök kullanıcı olan “newfpbx”i kurarak kalıcılığa ulaşır, çeşitli kullanıcı şifrelerini belirli bir değere sıfırlar ve erişim haklarını artırır. Saldırganların bağlanabilmesi için web kabuğu, genel bir SSH anahtarı enjekte eder ve sistem yapılandırmasını, 22 numaralı bağlantı noktasının (SSH) açık kalmasını sağlayacak şekilde değiştirir. Daha sonra EncystPHP ek damlalık yazılımını yükler. Sonunda günlük dosyalarını değiştirir ve FreePBX Endpoint Manager modülünün “uç noktası”nı siler.
Reklamdan sonra devamını okuyun
Kötü amaçlı yazılım sisteme daha da fazla müdahale ediyor; Fortinet analizi ayrıntılar sağlıyor ve enfeksiyon belirtilerini de listeliyor (Uzlaşma Göstergeleri, IOC'ler). Bu, yöneticilerin sistemlerini izinsiz giriş belirtileri açısından incelemesine olanak tanır.
(DMK)
Bir yanıt yazın