Критическая уязвимость FreePBX (удаленное выполнение кода). Активно эксплуатируется

Эпичное решето.

Месяц решета на ЛОРе продолжается?

Месяц... Since 1998.

Астрологи объявили неделю месяц решета на лоре, прирост дыр безопасности и эпичных дыр безопасности увеличен вдвое.

необходимо выполнить команды

Мощное решето - исправляется в две команды xD

Всегда говорил, что ФриПБХ кусок зурна и ставить на систему его будут лишь конченные идиоты. Мало того, что диалплан там кривой, что писец, так еще морда и на пхп писаная быдлокодерами.

#Ситечко!!!

Да еще оно эксплуатируется? Неделя ситечек прям :D

upd: ахаха убила строчка

amportal a ma delete admindashboard

Мощное решето - исправляется в две команды xD

Ага

amportal a ma delete admindashboard

CVE-2014-6277 тоже одной командой исправляется — aptitude purge bash

Ъ - кое где принужден использовать в версии 2.9.+asterisk 1.8 На каких версиях Freepbx данная уязвимость работает? (по ссылке не ходил пока)

Не, вот bash сносить не стоит, либо сначала удалить сам bash, а потом сразу симлинк на него /bin/bash -> /bin/tcsh.

А что за упоротый анон (со своим особым уличным цитированием) появился в новостях?

«А что за упоротый анон (со своим особым уличным цитированием) появился в новостях?»

Что значит «появился», уже несколько лет тут трусь.

Что значит «появился»

Что значит «нужно»? Зачем тебе мне видеть? Дверь запили!

amportal a ma delete admindashboard

mama ama criminal

Печальная, но закономерная уязвимость. Лично я интерфейс FreePBX выставлять в интернет не осмелился-бы.

Ну так любое решето можно исправить в две команды.

yum upgrade reboot

Это же гуй для астериска. Какого хрена он должен торчать наружу в интернет?

того же хрена, которого люди дефолтные пароли оставляют. или вот новость была, какую-то веб морду системы управления зданием хакнули (здание кажись гугловское было гыгы), тоже вроде в нет торчало. хотя, казалось бы.

вот блин, внатуре неделя уязвимостей!

Всем пофиг!

mama ama criminal

Тихо ржал с минуту наверное Очень уж верно подмечено :)

C 2.9 по 2.12

шо, опять? О_о недавно ж была похожая трабла в том же месте

Интересно, а как находят такие уязвимости? Сидит очкарик и целыми днями читает исходники, надеясь найти что нибудь? Может ведь найти , а может и не найти.

А что, один я не знаю, что такое FreePBX?

Если очки хорошие, то найдет.

FreePBX

ниасиляторы * должны страдать

клиент для Asterisk PBX, если верить wikipedia

а я то думаю, почему мне звонят какие то левые в последнее время

не клиент а уеб-ифейс для конфигурирования ниасиляторами.

что если web и ssh закрыты файрволом? только UDP/5060 and UDP/RTP range открыты.

у меня около 5-10 freePBX 2.11 в датацентре. но только через vpn межно достучаться до ssh и http.

Скоро выйдет новая версия OpenBSD. Подготавливается мнение коммюнити для бегства с линукса. :)

Бсдя настолько мощна, что спасет от кривых прикладух, торчащих в интернет? Головой—то думать надо.

Следовало бы уточнить, что уязвимость возможно эксплуатировать, только в случае открытого доступа к вэбморде. Я конечно понимаю, что FreePBX используется для быстрого развертывание колл центра. Но надо быть полным идиотом, чтобы не трогать фаер и оставлять доступ к 80 порту.

беги поскорее. и на лоре не пиши больше.

«Но надо быть полным идиотом, чтобы не трогать фаер и оставлять доступ к 80 порту.»

То есть только полные идиоты оставляют веб-морду?

«Скоро выйдет новая версия OpenBSD. Подготавливается мнение коммюнити для бегства с линукса. :)»

Эти поделки кроссплатформенны, бежать от них некуда.

Не оставлять вэб морду, а оставлять к ней доступ откуда попало. Я думаю это очевидно, учитывая, что Я 80 порт упомянул.

«Я думаю это очевидно, учитывая, что Я 80 порт упомянул.»

Хакер поленится просканировать порты?

А когда в самом * дыру найдут, что будешь кукарекать?

Неудивительно. Кто-нибудь вообще пользуется этим непонятно чем (серьезно, прочитал хоумпагу этого продукта, полазил в Википедии, даже погуглил, но так и не понял, что же это за реше продукт и, главное, зачем он нужен)?

При чём тут сканирование портов? Вебморду можно (а в данном случае - нужно) сделать доступной только из внутренней сети или при входе с определённых IP, чтобы уменьшить вероятность хака.

Это веб-админка для УАТС Asterisk. Пользуются многие и к сожалению, чем тупее админ, тем охотнее он использует FreePBX. Работаю в провайдере телефонии, знаю, о чём говорю. Грамотных админов, которые умеют готовить Asterisk, могу пересчитать по пальцам рук. Из них только один пользуется FreePBX, предварительно крепко его допилив под себя.

«сделать доступной только из внутренней сети или при входе с определённых IP, чтобы уменьшить вероятность хака»

Подменять айпишники хакеры еще не научились?