FreePBX’te 3 Kritik Güvenlik Açığı: SQL Enjeksiyonu, Dosya Yükleme ve Kimlik Doğrulama Atlaması

Anasayfa » FreePBX’te 3 Kritik Güvenlik Açığı: SQL Enjeksiyonu, Dosya Yükleme ve Kimlik Doğrulama Atlaması
APT, Siber Güvenlik, Zafiyetler
Aralık 20, 2025Aralık 20, 2025Tarafından Cybernews.TR
0
FreePBX’te 3 Kritik Güvenlik Açığı: SQL Enjeksiyonu, Dosya Yükleme ve Kimlik Doğrulama Atlaması

Saldırının Genel Çerçevesi

FreePBX platformunda Horizon3.ai tarafından keşfedilen üç kritik güvenlik açığı, Eylül 2025’te proje yöneticilerine bildirildi. Bu açıklardan ilki, kimlik doğrulamalı SQL enjeksiyonu (CVE-2025-61675) olup, dört farklı uç noktada ve 11 parametrede veritabanına okuma-yazma erişimi sağlıyor. İkincisi, kimlik doğrulamalı dosya yükleme açığı (CVE-2025-61678) ile saldırganlar PHP web kabuğu yükleyebiliyor ve hassas dosyaları sızdırabiliyor. Üçüncü ve en kritik olanı ise kimlik doğrulama atlama açığı (CVE-2025-66039) olup, belirli yapılandırmalarda sahte Authorization başlığı ile yönetici paneline erişim sağlanabiliyor.

Hangi Sistemler Risk Altında?

Bu zafiyetler, özellikle FreePBX’in gelişmiş ayarlarda “Authorization Type” seçeneği “webserver” olarak ayarlandığında ortaya çıkıyor. Varsayılan kurulumlarda bu risk bulunmamakla birlikte, gelişmiş ayarları değiştiren kurumlar ve servis sağlayıcılar hedefte. Açıklar, küçük ve orta ölçekli işletmelerden büyük kurumsal iletişim altyapılarına kadar geniş bir kullanıcı kitlesini etkileyebilir. Türkiye dahil olmak üzere global ölçekte, kritik iletişim altyapısı kullanan kurumlar için risk oluşturuyor.

Saldırı Zinciri ve Teknik Detaylar

İstismar adımları genel olarak şu şekilde ilerliyor:

  • SQL Enjeksiyonu (CVE-2025-61675): Kimlik doğrulaması gerektiren dört uç noktada, parametreler üzerinden enjeksiyon yapılarak veritabanına erişim sağlanıyor.
  • Dosya Yükleme (CVE-2025-61678): Geçerli PHPSESSID ile firmware yükleme uç noktası kullanılarak zararlı PHP kabuğu yükleniyor ve sistem komutları çalıştırılıyor.
  • Kimlik Doğrulama Atlama (CVE-2025-66039): “Authorization Type” webserver olarak ayarlandığında, sahte Authorization başlığı ile yönetici paneline giriş yapılabiliyor.

Bu saldırılar, MITRE ATT&CK kapsamında Initial Access, Execution ve Persistence teknikleriyle örtüşüyor. Özellikle kimlik doğrulama atlama açığı, CVE-2025-57819 benzeri aktif istismar vakalarıyla ilişkilendiriliyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • FreePBX sürümlerini CVE-2025-61675 ve CVE-2025-61678 için 16.0.92 ve 17.0.6, CVE-2025-66039 için 16.0.44 ve 17.0.23 sürümlerine yükseltin.
  • Gelişmiş ayarlarda “Authorization Type” değerini “usermanager” olarak ayarlayın ve “Override Readonly Settings” seçeneğini “No” yapın.
  • fwconsole komut satırı aracıyla kimlik doğrulama sağlayıcısını manuel olarak kontrol edin.
  • Yetkisiz oturumları tespit etmek için sistem loglarını ve erişim kayıtlarını düzenli olarak inceleyin.
  • EDR ve SIEM çözümleri ile anormal HTTP istekleri ve dosya yükleme aktivitelerini izleyin.
  • Ağ segmentasyonu ile PBX sistemlerini kritik altyapıdan izole edin.
  • MFA uygulayarak yönetici paneli erişimini güçlendirin.
  • Olay müdahale planlarını güncelleyerek olası ihlallerde hızlı aksiyon alın.

Kurumsal Ortamlarda Olası Senaryo

Bir VoIP hizmeti sağlayan kurumsal ortamda, saldırganlar kimlik doğrulamalı SQL enjeksiyonu ve dosya yükleme açıklıklarını kullanarak sisteme sızabilir. Ardından kimlik doğrulama atlama açığıyla yönetici paneline erişip yeni kullanıcılar ekleyerek kalıcı erişim sağlayabilirler. Bu durum, müşteri verilerinin sızdırılması ve iletişim kesintilerine yol açabilir. Bu nedenle, bulut güvenliği ve ağ segmentasyonu önlemleri kritik önem taşır.

, , , , , , ,