A nulladik napi rés és a vészhelyzeti javítás
Augusztus 21-e óta a hackerek kihasználják az újonnan felfedezett sérülékenységet, és sok rendszert már feltörtek. A fejlesztő, a Sangoma FreePBX biztonsági csapata gyors vészhelyzeti figyelmeztetést adott ki, valamint átmeneti javítást tett közzé az úgynevezett EDGE modul formájában. Bár ez a javítás elsősorban az új telepítésekre nyújt védelmet, a már fertőzött rendszerek esetében nem jelent végleges megoldást. Az érintett adminisztrátoroknak azt javasolják, hogy csak ismert, megbízható hosztokról engedélyezzék a hozzáférést a tűzfal beállításain keresztül, mivel a széles körű internetes elérhetőség növeli a támadási lehetőségeket.
Károk és támadási jelek
Egyes beszámolók szerint már több ezer SIP-melléket és ötszáz törzsvonalat érintett a támadás, és sok helyen a rendszereket korábbi, biztonságos mentésekből kellett visszaállítani. Az exploit segítségével a támadó bármilyen, az asterisk felhasználó által elérhető parancsot futtathat a rendszeren. A támadásra utaló jelek a következők lehetnek: módosított vagy hiányzó /etc/freepbx.conf állomány, a /var/www/html/.clean.sh script jelenléte, gyanús modular.php bejegyzések az Apache-naplókban, ismeretlen hívások a 9998-as mellékre, valamint szokatlan ampuser név a MariaDB/MySQL adatbázisban.
Hogyan védekezz?
Ha fertőzöttséget észlelsz, állj vissza egy augusztus 21. előtti, tiszta rendszermentésre, majd telepítsd az új, javított modulokat, és azonnal cseréld le az összes rendszer- és SIP-jelszót. Érdemes átvizsgálni a híváslistákat és a telefonszámlákat is, jogosulatlan nemzetközi forgalom nyomai után kutatva. Ha az ACP felületet korábban elérhetővé tetted az interneten keresztül, nagy a valószínűsége a fertőzésnek, ezért haladéktalan ellenőrzés és védelem szükséges az új, teljes körű biztonsági frissítésig.
