FreePBX

Die Schwachstelle betrifft FreePBX von Sangoma, eine quelloffene, webbasierte Oberfläche zur Verwaltung von Telefonanlagen. Ursache ist, dass von Nutzern übermittelte Eingaben an bestimmten Endpunkten nur unzureichend geprüft und bereinigt werden. Dadurch lässt sich die Anmeldung umgehen: Ein Angreifer kann ohne gültige Zugangsdaten und aus der Ferne auf den FreePBX-Administratorbereich zugreifen. Mit diesem unautorisierten Zugang kann er anschließend die zugrunde liegende Datenbank beliebig verändern und darüber hinaus eigenen Code auf dem System ausführen. Damit erlangt der Angreifer faktisch die vollständige Kontrolle über die Telefonanlage. Betroffen sind mehrere Hauptversionsreihen der Software. Da solche Anlagen die Telefonie eines gesamten Unternehmens steuern und ihre Verwaltungsoberfläche häufig erreichbar ist, kann eine Übernahme nicht nur einzelne Funktionen, sondern die gesamte Kommunikationsinfrastruktur kompromittieren.