FreePBX 服务器遭零日攻击入侵

存在一个针对暴露在外的 FreePBX 16 和 17 版本系统的高危零日漏洞利用攻击。攻击者正利用商业版 “终端管理器模块”（Endpoint Manager）中一个无需身份验证的权限提升漏洞发起攻击，当 “管理员控制面板”（Administrator Control Panel）可通过公网访问时，攻击者便能借助该漏洞实现远程代码执行（RCE）。 自 2025 年 8 月 21 日起，已监测到实际入侵事件，管理员必须立即采取行动遏制威胁。

核心要点

1. FreePBX “终端管理器模块” 存在零日远程代码执行（RCE）漏洞，攻击目标为可通过互联网访问的管理员界面（Admin UI）。
2. 立即阻断外部访问，并安装 “边缘版”（EDGE）或带标签的终端模块更新。
3. 检查是否存在入侵迹象，隔离 / 重建受影响系统，并从 8 月 21 日之前的备份中恢复数据。

防火墙封锁措施

FreePBX 官方表示，各机构应首先确认其 FreePBX/PBXAct 实例是否可被外部访问。

• 若 “管理员控制面板”（ACP）可通过 80 端口或 443 端口访问，需在网络边界阻断所有外部流量。
• 或者，可使用 FreePBX 防火墙模块，将 “互联网 / 外部区域”（Internet/External zone）的访问权限仅限制给已知可信主机。
• 封锁操作完成后，需从不可信网络（如手机流量）测试管理员控制面板的连通性，确认其仅允许本地访问。

接下来，需将 “终端模块” 更新至官方提供的 “边缘版”（EDGE）构建版本以进行测试。FreePBX 16/17 版本用户可执行以下操作

PBXAct 16 和 17 版本用户应指定稳定版标签

12 小时内将发布经过完整 QA（质量保证）测试的正式版本；待版本发布后，可通过 “管理员→模块管理员”（Admin → Module Admin）路径执行标准模块更新。

缓解措施

为检测潜在入侵，管理员必须执行以下检查操作：

1. 确认/etc/freepbx.conf文件是否仍存在。
2. 检查是否存在恶意投放脚本/var/www/html/.clean.sh。
3. 扫描 Apache 日志，查看 8 月 21 日以来是否有向modular.php发送的 POST 请求。
4. 检查 Asterisk 日志，查看是否存在拨打分机号 9998 的记录。
5. 查询 MySQL 数据库，检查是否存在可疑的ampusers（FreePBX 管理员用户表）条目。

若发现上述任何入侵迹象，需立即隔离受影响系统，并规划恢复方案：保留 8 月 21 日之前的备份，部署全新的 FreePBX 系统并配置强化后的防火墙设置，恢复数据，同时重置所有凭据（包括系统凭据、SIP 中继凭据、分机号凭据、语音信箱凭据、UCP 用户控制面板凭据）。 可使用社区提供的collect_forensics_freepbx.sh脚本（基于 AGPLv3 协议）自动收集取证数据，该脚本会对日志、配置文件和进程状态进行快照，以便后续分析。 使用 FreePBX 16 版本之前旧版本的用户需保持警惕；Sangoma 公司（FreePBX 开发商）仍在调查漏洞根本原因，待漏洞评估完成后将发布对应的 CVE 编号（通用漏洞披露编号）。 在此之前，禁用 “管理员控制面板”（ACP）的互联网访问权限，并应用 “边缘版”（Edge）或 “稳定版”（Stable）终端模块更新，仍是最有效的防御措施。