CVE-2025-57819: Nicht authentifizierte RCE bedroht FreePBX-Systeme weltweit

CVE-2025-57819 (CVSS 9.8) ist eine neue CVE mit maximaler Schwere, die die FreePBX-Versionen 15, 16 und 17 betrifft, wenn das kommerzielle EndPoint Management (EPM)-Modul installiert ist. Private Branch Exchange (PBX) ist eine Telefonietechnologie zum Weiterleiten von Sprachanrufen, die häufig zusätzliche Dienste wie Voicemail umfasst. CVE-2025-57819 wird durch unzureichend bereinigte Benutzereingaben verursacht, was zu SQL-Injection [CWE-89] und Authentifizierungsumgehung [CWE-288] führt. Laut der offiziellen Empfehlung von Sangoma kann die Ausnutzung zu einer Remote-Code-Ausführung (RCE) mit Root-Rechten auf dem zugrunde liegenden System führen. Eine aktive Ausnutzung wurde am 21. August 2025 gemeldet, und CVE-2025-57819 wurde in die Liste der bekannten ausgenutzten Schwachstellen (KEV) der CISA aufgenommen.

Es wurden nur teilweise technische Berichte veröffentlicht; Proof-of-Concept-Exploits (PoC) sind noch nicht aufgetaucht. Nationale CERT-Hinweise wurden vom NCSC-NL und dem Canadian Cyber Centre herausgegeben. Die weit verbreitete Nutzung von FreePBX erhöht das potenzielle Risiko durch CVE-2025-57819. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Erkennung, um anfällige Versionen von FreePBX zu identifizieren. Sehen wir uns die Details zu dieser hochriskanten CVE genauer an.

Technische Details zu Cyberangriffen, die auf CVE-2025-57819 abzielen

Vollständige technische Details zur Ursache von CVE-2025-57819 wurden nicht veröffentlicht. Vorhandene Berichte deuten darauf hin, dass es sich bei der Schwachstelle um eine SQL-Injection [CWE-89] mit Privilegieneskalation auf „potenziell Root-Ebene” auf dem zugrunde liegenden FreePBX-System handelt [1]. Das betroffene Produkt ist als FreePBX core aufgeführt. Die offizielle Empfehlung von Sangoma impliziert jedoch das kommerzielle Add-on-Modul EndPoint Management (EPM). 

Intern werden FreePBX-User und -Passwörter in der MariaDB-Tabelle ampusers gespeichert  [2]. Sobald Eindringlinge festgestellt haben, welche Eingaben für SQL-Injection anfällig sind, können sie sensible Datenbanktabellen auslesen und beschreiben sowie Adminpasswörter ändern, um sich Administrationszugriff auf die Web-Oberfläche zu verschaffen. SQL-Injection-Angriffe gegen MariaDB sind auch anfällig für die Erstellung beliebiger Dateien. 

Eine Überprüfung des FreePBX-Installationsprogramms zeigt, dass dem Asterisk-Dienstbenutzer die Eigentumsrechte für das Web-Root-Verzeichnis übertragen werden [3]. Dadurch kann eine bösartige Web-Shell die vollständige Kontrolle über das Asterisk-PBX-Subsystem erlangen. Tatsächlich deuten IoCs (Indicators of Compromise, Kompromittierungsindikatoren) aus der Analyse der Sicherheitsverletzung darauf hin, dass Web-Shells bei Angriffen verwendet werden.

Risikobewertung für CVE-2025-57819 im FreePBX EPM-Modul

FreePBX wird häufig von IT-Serviceprovidern eingesetzt, die sich auf VoIP für Unternehmen spezialisiert haben, um gehostete oder lokale Sprachlösungen bereitzustellen. FreePBX selbst ist eine webbasierte Open-Source-Schnittstelle zur Verwaltung von Asterisk, einem Voice-over-IP (VoIP)-PBX-System. CVE-2025-57819 betrifft die Sangoma FreePBX-Versionen 15, 16 und 17, wenn das EndPoint Manager (EMP)-Modul installiert ist und Eindringlinge auf die Adminschnittstelle zugreifen können. Wenn das EMP-Modul nicht installiert ist oder die FreePBX-Admin-Bedienoberfläche vor dem Zugriff durch böswillige Akteure geschützt ist, besteht für das System kein Risiko.

Es gibt starke Hinweise darauf, dass die potenziellen globalen Auswirkungen von CVE-2025-57819 hoch sind. Der kritische CVSS-Schweregrad der CVE impliziert, dass eine vollständige Kompromittierung eines FreePBX-Hosts durch einfache Angriffe möglich ist. Darüber hinaus hat CVE-2025-57819 einen hohen EPSS-Wert im ≥97. Risikoperzentil. Ein Shodan-Filter für den Webseitentitel „FreePBX Administrator” zeigt mehr als 12.000 exponierte Instanzen an. Wenn auch nur ein Bruchteil davon das kommerzielle EPM-Modul verwendet, könnte diese Schwachstelle erhebliche Folgen haben.

Berichten zufolge haben reale Sicherheitsverletzungen unter Ausnutzung von CVE-2025-57819 zur vollständigen Kontrolle über ein FreePBX-System geführt. Es stehen verschiedene Möglichkeiten zur Verfügung, um ihren Angriff auf ein Opfer auszuweiten. Diese Angriffe können Folgendes umfassen:

• Die vollständige Kontrolle über eine FreePBX-Instanz könnte es Bedrohungsakteuren ermöglichen, den SIP-Verkehr abzufangen und zu überwachen, Kommunikationsmetadaten zu sammeln, Anrufe aufzuzeichnen oder Voicemail-Systeme zu manipulieren [T1123].
• Eskalation zu Root-Rechten auf dem kompromittierten Linux-Subsystem [T1068].
• Der Diebstahl sensibler Daten [T1005] könnte Kontext für zukünftige Social-Engineering-Angriffe liefern, darunter Phishing [T1660] oder Vishing [T1598.004], um an Zugangsdaten für die IT-Infrastruktur eines Unternehmens zu gelangen.
• Eindringlinge könnten sich dauerhaften Zugriff [TA0003] und heimlichen Command-and-Control-Zugriff (C2) auf FreePBX-Systeme verschaffen. [TA0011]
• Laterale Bewegung zu anderen internen Netzwerksystemen [TA0008]
• Einsatz von Ransomware [T1486] und finanzielle Erpressung der Opfer [T1657]

Risikominderung von CVE-2025-57819 in FreePBX

Laut der offiziellen Empfehlung von Sangoma müssen User zur vollständigen Risikobegrenzung den FreePBX core auf die Versionen 15.0.66, 16.0.89 oder 17.0.3 und das kommerzielle EMP-Modul auf die entsprechenden korrigierten Versionen – 16.0.88.19 für FreePBX 16 und 17.0.2.31 für FreePBX 17 – aktualisieren oder die vorläufige –edge-Version anwenden, wenn dies vom Anbieter empfohlen wird. Wenn kein Upgrade durchgeführt werden kann, können Sie Ihr Risiko verringern, indem Sie den Zugriff auf die IP-Adresse des FreePBX-Admins einschränken. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Remote-Banner-Erkennung, um anfällige Versionen von FreePBX zu identifizieren.

Zu den beobachteten IoCs gehören die Erstellung beliebiger Dateien mit Dateinamen wie .clean.sh, monitor.php, backend.php, .conf_ und geänderte Konfigurationsdateien /etc/freepbx.conf [1][2]. Diese IoCs deuten darauf hin, dass PHP-Web-Shells zur Ausführung von Betriebssystembefehlen verwendet werden. Die forensische Analyse der Sicherheitsverletzung hat außerdem Hinweise auf Persistenzmechanismen und verdeckte Log-Scrubbing-Techniken ergeben. Es sollte davon ausgegangen werden, dass eine Kompromittierung stattgefunden hat, wenn geänderte Konfigurationsdateien, verdächtige PHP-Dateien oder betrügerische Datenbankbenutzer entdeckt werden.

Zusammenfassung

CVE-2025-57819 stellt ein hohes Risiko für Unternehmen dar, die FreePBX mit dem kommerziellen EPM-Modul betreiben. Es gibt Hinweise darauf, dass die Ausnutzung dieser Schwachstelle zu einer nicht authentifizierten RCE mit Root-Rechten und vollständiger Systemübernahme führen kann. Aufgrund der Sensibilität der Sprachkommunikation besteht die Möglichkeit der Überwachung oder eines VoIP-DoS. Schätzungsweise sind mehr als 12.000 FreePBX-Instanzen betroffen. Admins sollten die Verwendung des kommerziellen EPM-Moduls überprüfen und sowohl FreePBX als auch das EPM-Modul dringend patchen. Weiterer Schutz kann durch die Einschränkung des Zugriffs auf die Administrator-Benutzeroberfläche erreicht werden, und IT-Sicherheitsteams sollten nach IoCs auf anfälligen Systemen suchen.