CVE-2025-67722

Nome do Software Vulnerável e Versões Afetadas Versões do FreePBX anteriores à 16.0.45 Versões do FreePBX anteriores à 17.0.24

Descrição O FreePBX é uma interface gráfica de usuário baseada na web para gerenciar o Asterisk. Existe uma vulnerabilidade de escalonamento de privilégio local no script de inicialização obsoleto do FreePBX, amportal, em versões anteriores à 16.0.45 e 17.0.24. O utilitário amportal busca pelo arquivo freepbx engine nos diretórios /etc/asterisk/, que são tipicamente graváveis pelo usuário asterisk e membros do grupo asterisk. Um atacante que seja membro do grupo asterisk pode inserir um arquivo freepbx engine malicioso em /etc/asterisk/, o qual será então executado com privilégios de root quando o amportal for executado. As funções System() e FILE() são exemplos de aplicações e funções do plano de discagem do Asterisk que podem potencialmente manipular o sistema de arquivos.

Recomendações Versões do FreePBX anteriores à 16.0.45 devem ser atualizadas para a versão 16.0.45 ou posterior. Versões do FreePBX anteriores à 17.0.24 devem ser atualizadas para a versão 17.0.24 ou posterior. Confirme se apenas usuários confiáveis do sistema operacional local são membros do grupo asterisk. Busque por arquivos suspeitos no diretório /etc/asterisk/ através da interface Admin -> Config Edit na GUI, ou via interface de linha de comando. Certifique-se de que live dangerously = no esteja definido (ou não configurado, pois o padrão é 'no') no arquivo /etc/asterisk/asterisk.conf. Elimine qualquer uso personalizado inseguro de aplicações e funções do plano de discagem do Asterisk que possam potencialmente manipular o sistema de arquivos, como System() e FILE().