Rasta „FreePBX“ programinės įrangos spraga
Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja, kad aptikta pavojinga „FreePBX“ programinės įrangos spraga.
Pažeidžiamos kompiuterinės sistemos ir programos - gali būti visos „FreePBX“ telefonijos serverio versijos iki 2.12 versijos, taip pat „FreePBX“ 2.12 versija, kurioje nepašalintas „Asterisk Recording Interface Framework“ modulis.
„FreePBX“ yra programinė įranga, aptarnaujanti balso perdavimo paslaugą internetu.
Ši nuotolinio kodo paleidimo (angl. Remote Code Execution) spraga gali leisti prisijungti prie „FreePBX” serverio be tapatybės nustatymo ir gauti administratoriaus teises, kurios piktavaliui leidžia vykdyti visas komandas, kurias palaiko sistema. Išnaudojant šią spragą, taip pat gali būti skambinama „FreePBX“ savininko sąskaita.
CERT-LT rekomenduojama vartotojams:
- nedelsiant atnaujinti „FreePBX“ programinę įrangą;
- ištrinti „Asterisk Recording Interface Framework“ modulį;
- pakeisti valdymo skydo (angl. Control Panel) vartotojo paskyrą.
Informacijos šaltiniai:
http://www.freepbx.org/node/92822
http://www.freepbxhosting.com/blog/vulnerability-freepbx-8070/
http://community.freepbx.org/t/critical-freepbx-rce-vulnerability-all-versions-cve-2014-7235/24536
CERT-LT primena ir dėl botnetų. Jei naudotojui kilo įtarimų, kad jo kompiuteris gali būti įtrauktas į botneto veiklą, jis gali pasitikrinti CERT-LT tinklalapyje https://www.nksc.lt/tikrinti.html, ar kompiuterio interneto protokolo (IP) adresas nėra užfiksuotas CERT-LT duomenų bazėje kaip dalyvaujantis kenkimo veikloje.