ثغرات خطيرة في  FreePBX تهدد اتصالات المؤسسات.. وإصدار تحديثات أمنية عاجلة

كشفت شركة أبحاث الأمن السيبراني “هورايزون 3” عن ثلاثة ثغرات أمنية خطيرة في النظام المفتوح المصدر لإدارة بدالات الهاتف (PBX) والمعروف باسم “فري بي إكس”، يمكن أن تسمح للمهاجمين بالتحكم الكامل في الخادم عن بعد. وقد أصدر القائمون على المشروع تحديثات عاجلة لمعالجتها، وسط تحذيرات للمستخدمين بضرورة التحديث الفوري ومراجعة إعدادات أنظمتهم.

تفاصيل الثغرات: من تسلل البيانات إلى السيطرة الكاملة

تتراوح خطورة هذه الثغرات بين مرتفعة وحاسمة، وتستهدف نقاطاً مختلفة في النظام:

• ثغرة تجاوز المصادقة الحرجة (CVE-2025-66039) وهي الأخطر بتصنيف 9.3، وتسمح للمهاجم بتجاوز صفحة تسجيل الدخول في لوحة التحكم الإدارية عندما يكون نوع المصادقة (AUTHTYPE) مضبوطاً على “webserver”. يتطلب استغلال هذه الثغرة شروطاً إضافية في الإعدادات المتقدمة، مما يجعلها غير نشطة في التكوين الافتراضي للنظام.

• ثغرات حقن SQL متعددة (CVE-2025-61675) بتصنيف 8.6، تمكن المهاجم الذي حصل على جلسة عمل صالحة (PHPSESSID) من تنفيذ أوامر SQL خبيثة عبر أربع نقاط اتصال مختلفة، مما يتيح قراءة أو كتابة البيانات في قاعدة البيانات الأساسية للنظام.

• ثغرة رفع ملفات عشوائية (CVE-2025-61678) بتصنيف 8.6 أيضاً، تسمح لمستخدم مصادق له باستغلال نقطة رفع ملفات نظام التشغيل الثانوي (Firmware) لتحميل “قشرة ويب” خبيثة مكتوبة بلغة PHP، مما يؤدي إلى تنفيذ أوامر عشوائية على الخادم وسرقة ملفات حساسة.

سلسلة الهجوم: كيف يمكن استغلال هذه الثغرات معاً؟

يكمن الخطر الأكبر في إمكانية تجميع هذه الثغرات في سلسلة هجوم واحدة متكاملة. يمكن أن يبدأ المهاجم باستغلال ثغرة تجاوز المصادقة (CVE-2025-66039) للدخول إلى النظام إذا كان التكوين غير آمن. بمجرد الحصول على موطئ قدم، يمكنه استخدام ثغرات حقن SQL (CVE-2025-61675) لإنشاء مستخدم إداري خبيث جديد في قاعدة البيانات يضمن له وصولاً دائمًا. في الخطوة الأخيرة والأكثر تدميراً، يمكنه استغلال ثغرة رفع الملفات (CVE-2025-61678) لتحميل برنامج نصي يمكنه من خلاله تنفيذ أي أمر على الخادم، مما يؤدي إلى “تنفيذ أكواد عن بُعْد” وسيطرة كاملة على نظام الاتصالات.

الإصدارات المصححة والإجراءات الوقائية العاجلة

أصدر فريق فري بي إكس ترقيات أمنية لمعالجة هذه الثغرات في الإصدارات التالية:

• الثغرات CVE-2025-61675 و CVE-2025-61678: تم إصلاحها في الإصدارين 16.0.92 و 17.0.6 بتاريخ 14 أكتوبر 2025.

• ثغرة CVE-2025-66039: تم إصلاحها في الإصدارين 16.0.44 و 17.0.23 بتاريخ 9 ديسمبر 2025.

بالإضافة إلى التحديث، أوصى الباحثون والقائمون على المشروع بإجراءات وقائية فورية:

1. تحديث النظام فوراً إلى أحدث إصدار آمن متوفر.

2. مراجعة إعدادات المصادقة: التأكد من أن خيار “نوع التفويض” (Authorization Type) مضبوط على “usermanager” وليس “webserver”. تمت إزالة هذا الخيار من واجهة الإعدادات المتقدمة في التحديثات الجديدة، مما يتطلب تعديله عبر سطر الأوامر باستخدام الأمر fwconsole إذا لزم الأمر.

3. فحص النظام بحثاً عن أي اختراق: بالنسبة للمستخدمين الذين كان خيار “webserver” مفعلاً لديهم دون علم، يجب إجراء فحص دقيق للنظام للبحث عن أي أنشطة غير مألوفة أو مستخدمين غير معروفين تمت إضافتهم إلى قاعدة البيانات.

4. تجنب استخدام “webserver” كمصادق: شدد الباحثون على أن هذا الخيار يعتمد على كود برمجي قديم وقد يكون أقل أماناً، وأن أفضل الممارسات هي عدم استخدامه.

خلفية وخطر مترابط

من المهم الإشارة إلى أن تقرير هورايزون 3 جاء في إطار تحقيقات أوسع حول ثغرة أمنية أخرى نشطة ومستغلة في البرية منذ سبتمبر 2025 تُعرف بـ (CVE-2025-57819)، والتي تسمح أيضاً بإضافة مستخدمين خبثاء. هذا يسلط الضوء على استهداف أنظمة الاتصالات مثل فري بي إكس من قبل مجرمي الإنترنت، نظراً لأهميتها التشغيلية وحساسية البيانات التي قد تمر عبرها، مثل التسجيلات الصوتية ومعلومات العملاء. يجب على المؤسسات التي تستخدم هذا النظام، خاصة تلك التي تتعامل مع بيانات حساسة أو تقدم خدمات اتصال حرجة، أن تتبع إرشادات الأمن السيبراني بدقة وتضمن تحديث بُنى أساسياتها التقنية باستمرار.