FreePBX’dagi jiddiy zaiflik orqali webshell joylashtirilib, VoIP tizimlari to‘liq egallanmoqda

2025-yil dekabr oyidan boshlab kiberjinoyatchilar FreePBX platformasidagi jiddiy zaiflikdan foydalanib, zararlangan VoIP/PBX tizimlariga doimiy yashirin kirish (persistence) o‘rnatayotgan keng ko‘lamli hujumlarni amalga oshirmoqda. Hujumchilar tizimga “EncystPHP” nomli webshell joylashtirib, administrator darajasida to‘liq nazoratni qo‘lga kiritmoqda.

Mazkur kampaniya CVE-2025-64328 identifikatoriga ega bo‘lgan, FreePBX Endpoint Manager modulining ma’muriy interfeysida mavjud post-authentication command injection (autentifikatsiyadan keyingi buyruq kiritish) zaifligidan foydalanadi. Zaiflik Filestore komponentidagi check_ssh_connect() funksiyasi bilan bog‘liq bo‘lib, autentifikatsiyadan o‘tgan foydalanuvchiga asterisk foydalanuvchisi nomidan ixtiyoriy shell buyruqlarni bajarish imkonini beradi.

Hujum ortidagi guruh: INJ3CTOR3

Faoliyat moliyaviy manfaatga qaratilgan INJ3CTOR3 xakerlar guruhi bilan bog‘lanmoqda. Ushbu guruh ilk bor 2020-yilda FreePBX tizimlaridagi CVE-2019-19006 zaifligini nishonga olgani bilan tanilgan. 2022-yilda esa ular taktikani o‘zgartirib, Elastix tizimlariga qarshi CVE-2021-45461 zaifligidan foydalangan.

Guruhning asosiy maqsadi — VoIP infratuzilmasidan noqonuniy qo‘ng‘iroqlarni amalga oshirish, toll fraud (telefon trafik firibgarligi) orqali daromad topish va aloqa resurslarini suiiste’mol qilish.

Dastlabki kirish va zararli yuklama

Tahlillarga ko‘ra, hujum trafigi Braziliyadan kelgan va Hindistondagi bulutli aloqa xizmatlarini ko‘rsatuvchi kompaniya boshqaruvidagi mijoz tizimlari nishonga olingan.

Hujumchilar EncystPHP webshell’ini 45[.]234[.]176[.]202 IP manzilidan yuklab olgan. Ushbu manzil crm[.]razatelefonia[.]pro domeniga mos keladi va tashqi ko‘rinishda VoIP boshqaruv paneli sifatida niqoblangan. Manbadagi new/ yo‘liga murojaat qilinganda so‘rovlar avtomatik ravishda ikkilamchi dropper — k.php fayliga yo‘naltiriladi.

EncystPHP: oddiy webshell emas

EncystPHP webshell’i oddiy zararli skript emas. U quyidagi imkoniyatlarga ega:

  • Masofadan turib buyruq bajarish (RCE)
  • Ko‘p bosqichli doimiy yashirin kirish mexanizmlari
  • Aniqlanishdan qochish usullari
  • Tizimdagi boshqa webshell’larni o‘chirib tashlash
  • FreePBX fayllarining ruxsatlarini o‘zgartirib, o‘zini yashirish

Webshell o‘zini ajax.php nomli qonuniy FreePBX fayli sifatida ko‘rsatadi. Autentifikatsiya esa MD5 xeshlar orqali amalga oshiriladi: foydalanuvchi kiritgan parol web-interfeysda kod ichidagi xesh bilan solishtiriladi.

Tizimga kirilgach, “Ask Master” nomli interaktiv boshqaruv interfeysi paydo bo‘ladi. Unda:

  • Fayl tizimini ko‘zdan kechirish
  • Jarayonlarni tahlil qilish
  • Faol Asterisk kanallarini ko‘rish
  • SIP abonentlarini ro‘yxatlash
  • FreePBX va Elastix konfiguratsiyalarini yuklab olish

imkoniyatlari mavjud.

Root darajasida yashirin foydalanuvchi va SSH orqa eshigi

EncystPHP tizimda newfpbx nomli root darajadagi foydalanuvchini yaratadi. Parollar bir xil qiymatga almashtiriladi, SSH ochiq kalitlari qo‘shiladi va SSH 22-porti doimo ochiq turishi ta’minlanadi. Bu esa hujumchilarga tizimga istalgan vaqtda qayta kirish imkonini beradi.

To‘rt bosqichli persistence arxitekturasi

Hujum quyidagi ko‘p qatlamli doimiylik mexanizmi orqali mustahkamlanadi:

  1. Crontab orqali har daqiqada k.php dropper’ini qayta yuklash
  2. /var/www/html/ ostidagi bir nechta kataloglarga nusxalar joylashtirish:
    • digium_phones/
    • rest_phones/
    • phones/
    • freepbxphones/
  3. Kamida 12 ta turli fayl yo‘llariga webshell joylashtirish
  4. Loglarni buzish, xatoliklar qaydini o‘chirish va vaqt tamg‘alarini soxtalashtirish

Bu esa administrator webshell’ni o‘chirgan taqdirda ham boshqa joydan yana paydo bo‘lishiga olib keladi.

Oqibatlar: to‘liq kompromat

Mazkur zaiflikdan muvaffaqiyatli foydalanilgan holat tizim to‘liq egallandi deb baholanishi kerak. Hujumchilar:

  • Ixtiyoriy buyruqlarni bajaradi
  • Tashqi qo‘ng‘iroqlarni ishga tushiradi
  • Konfiguratsiyalarni o‘g‘irlaydi
  • PBX resurslaridan moliyaviy maqsadlarda foydalanadi

VoIP va PBX tizimlari kiberjinoyatchilar uchun yuqori qiymatli nishon bo‘lib qolmoqda.

Aniqlash ko‘rsatkichlari (IoC)

Tarmoq indikatorlari:

  • 45[.]234[.]176[.]202
  • 187[.]108[.]1[.]130
  • crm[.]razatelefonia[.]pro

Fayl yo‘llari:

  • /var/www/html/admin/views/ajax.php
  • /var/www/html/rest_phones/ajax.php
  • /var/www/html/admin/modules/core/ajax.php

Zararli foydalanuvchi: newfpbx

Aniqlash signaturalari:

  • PHP/EncystPHP.A!tr
  • BASH/EncystPHP.A!tr
  • IPS: 59448

Himoyalanish va tavsiyalar

Tashkilotlar quyidagilarni zudlik bilan amalga oshirishi lozim:

  • FreePBX’ni so‘nggi xavfsizlik yangilanishlari bilan yangilash
  • Tizimda noma’lum ajax.php fayllarini tekshirish
  • newfpbx foydalanuvchisini qidirish
  • Crontab yozuvlarini tekshirish
  • SSH kalitlari va parollarni yangilash
  • Tarmoq trafiklarini IoC’lar bo‘yicha tahlil qilish
  • Zararlangan tizimni toza zaxiradan qayta tiklash

Ushbu hodisa yana bir bor shuni ko‘rsatadiki, VoIP va PBX infratuzilmasi oddiy aloqa vositasi emas, balki jiddiy kiberxavfsizlik e’tiborini talab qiladigan muhim tizimdir. Yamoqlanmagan (unpatched) FreePBX serverlari esa kiberjinoyatchilar uchun tayyor o‘lja bo‘lib qolmoqda.

Agar ushbu zaiflikdan foydalanilgan bo‘lsa, bu oddiy buzilish emas — bu tizim ustidan to‘liq nazorat yo‘qotilganini anglatadi. Zudlik bilan choralar ko‘rilmasa, moliyaviy va axborot xavfsizligi yo‘qotishlari muqarrar.