Le domaine de la téléphonie VoIP est de nouveau la cible des cybercriminels, avec FreePBX, une plateforme open-source basée sur Asterisk, au cœur de la tourmente. Largement utilisée par les entreprises, les centres d’appels et les fournisseurs de services, FreePBX est actuellement confrontée à une vulnérabilité de type zero-day qui a déjà été exploitée activement. Cette faille affecte les systèmes qui exposent le panneau de contrôle administrateur (ACP) au réseau, permettant aux attaquants d’exécuter des commandes arbitraires avec les privilèges de l’utilisateur Asterisk. Cela leur donne un contrôle total sur le PBX, leur permettant de modifier les configurations, rediriger les appels, compromettre les trunks SIP et même initier des appels internationaux non autorisés.
De nombreux administrateurs ont signalé des violations significatives, avec des milliers d’extensions SIP et des centaines de trunks affectés. Bien que Sangoma n’ait pas publié de détails techniques sur la vulnérabilité, la communauté a identifié plusieurs indicateurs de compromission, notamment des fichiers de configuration manquants ou modifiés, ainsi que des scripts et des entrées de journaux suspects.
En réponse, l’équipe de sécurité de Sangoma FreePBX a émis une correction d’urgence EDGE pour les nouvelles installations, bien que cela ne remédie pas aux systèmes déjà compromis. Les administrateurs dont les contrats de support ont expiré pourraient rencontrer des difficultés pour obtenir cette mise à jour, laissant leurs systèmes vulnérables. Les mesures immédiates incluent la restriction de l’accès à l’ACP aux hôtes de confiance, la restauration des systèmes à partir de sauvegardes antérieures au 21 août, la mise à jour des modules dans des environnements sains et le changement de tous les identifiants.
Cet incident souligne le risque critique d’exposer les panneaux d’administration à Internet et met en lumière la nécessité de mesures de sécurité proactives pour atténuer l’impact des menaces imprévues, garantissant la continuité et la sécurité des communications d’entreprise.
