FreePBX heeft een kwetsbaarheid verholpen in versies 15, 16 en 17. FreePBX is een gratis en open-source telefooncentrale (PBX = Private Branch Exchange). De kwetsbaarheid wordt aangeduid met CVE-2025-57819.
FreePBX meldt dat actief misbruik heeft plaatsgevonden op meerdere systemen met FreePBX versie 16 en 17 die voorzien waren van onvoldoende IP-filtering en ACLs (Access Control List) en waarbij de managementinterface rechtstreeks verbonden was met het internet. De kwetsbaarheid is daarom ingeschaald als ‘High/High‘. Dit betekent dat zowel de kans op misbruik, als de kans op schade groot is.
Wat is het risico?
De kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde toegang te krijgen en mogelijk willekeurige code uit te voeren, door misbruik te maken van onvoldoende controle op ingevoerde gegevens.
Wat te doen?
FreePBX heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Het is belangrijk om te bevestigen dat de geïnstalleerde ‘endpoint’ module voldoet aan de minimaal gepatchte versies. Systemen die niet automatisch updaten, of gebruikers die handmatig willen bijwerken, kunnen dit doen via het Administrator Control Panel-menu.
Het Digital Trust Center (DTC) adviseert organisaties om de update zo snel mogelijk te installeren en systemen te controleren op de aanwezigheid van zogeheten Indicators of Compromise (IOC’s), vooral als de managementinterface met het internet is verbonden. Een overzicht van deze IOC’s is te vinden op de website van FreePBX.
Het direct verbinden van een managementinterface met het internet wordt alleen aangeraden in uitzonderlijke gevallen. Ook dan is het verstandig dit uitsluitend te doen vanaf specifieke IP-adressen en eventueel met gebruik van een VPN-verbinding. Het DTC raadt aan om contact op te nemen met een IT-dienstverlener als er twijfel bestaat over het gebruik van een kwetsbare versie.
Tijdelijke subsidie voor patch-management
Voor kleine bedrijven is er tijdelijk financiële ondersteuning beschikbaar. Zij kunnen gebruikmaken van een subsidie die 50% vergoedt op de aanschaf en implementatie van essentiële cyberweerbaarheidsmaatregelen. Meer informatie is te vinden via de regeling Mijn Cyberweerbare Zaak-subsidie.