Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 26/3/2012
IP-telefonsystemer baseret på open source-programmet FreePBX har en sårbarhed, som angribere kan bruge til at afvikle programkode.For at udnytte sårbarheden skal angriberen ringe til et nummer på det sårbare omstillingsanlæg. Når modtageren tager telefonen, aktiveres sårbarheden.
Sikkerhedsforskere fra Offensive Security har eksperimenteret med sårbarheden. De har fundet en metode til at få administratorprivilegier på det sårbare system, efter at sårbarheden er udnyttet.
Sårbarheden blev fundet af sikkerhedsforsker Martin Tschirsich. Han oplyser, at han orienterede udviklerne af FreePBX om problemet i juni 2011. Men han har ikke indtryk af, at de har planer om at lukke hullet.
Offensive Security har udviklet et modul til Metasploit, der udnytter sårbarheden i praksis.
Anbefaling
Brugere af FreePBX bør undersøge, om deres system er sårbart. Der er forslag til sikkerhedsrettelser i beskrivelsen af sårbarheden.