![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
In Telefonanlagen mit der Software FreePBX gibt es die Schwachstelle CVE-2025-57819 mit einem CVSS Index von 10.0. Da brennt bildlich gesprochen die H\u00fctte, und die Anlagen m\u00fcssten unverz\u00fcglich gepatcht werden. Die Sicherheitsforscher von The Shadowserver Foundation haben das Internet gescannt und haben zig ungepatchte Anlagen gefunden.<\/p>\n
<\/p>\n
Bei FreePBX handelt es sich um eine webbasierte Open-Source-GUI (grafische Benutzeroberfl\u00e4che) f\u00fcr die Verwaltung der Asterisk Open-Source-VoIP-Server. FreePBX erm\u00f6glicht eine einfache Konfiguration und Verwaltung von Anruffunktionen wie Weiterleitung, Anrufbeantwortung, Konferenzen und Voicemail \u00fcber eine Weboberfl\u00e4che. FreePBX ist kostenlos verf\u00fcgbar und kann durch Add-Ons erweitert werden, um individuelle Gesch\u00e4ftsanforderungen zu erf\u00fcllen.<\/p>\n
Am 28. August 2025 ver\u00f6ffentlichte FreePBX eine Sicherheitswarnung <\/a>zur Schwachstelle CVE-2025-57819<\/a>. Die FreePBX Versionen 15, 16 und 17 sind aufgrund unzureichend bereinigter, vom Benutzer bereitgestellter Daten anf\u00e4llig. Dadurch ist ein nicht authentifizierter Zugriff auf den FreePBX-Administrator m\u00f6glich, was zu beliebigen Datenbankmanipulationen und der Ausf\u00fchrung von Remote-Code f\u00fchren kann.<\/p>\n Auf GitHub hei\u00dft es<\/a>, dass ein unbefugter Benutzer ab dem 21. August 2025 began, auf mehrere FreePBX-Systeme der Versionen 16 und 17 zuzugreifen, die direkt mit dem\u00a0 Internet verbunden waren. Es handelte sich um Systeme mit unzureichender IP-Filterung\/ACLs. Der Zugriff erfolgte, indem der Angreifer einen Validierungs-\/ Sanitisierungsfehler bei der Verarbeitung von Benutzereingaben in das kommerzielle \u201eEndpunkt\"-Modul ausnutzte. Dieser erste Einstiegspunkt wurde dann mit mehreren weiteren Schritten verkettet, um letztendlich potenziell Root-Zugriff auf die Zielsysteme zu erlangen.<\/p>\n Der Schwachstelle wurde ein CSSV 3.1-Score von 10.0 zugewiesen. Dieses Problem wurde in den Endpunktversionen 15.0.66, 16.0.89 und 17.0.3 behoben. Ein zeitnahes Update ist also dringend erforderlich, da die Software per Internet erreichbar ist. Das belgische Center for Cybersecurity hat diese Sicherheitswarnung<\/a> dazu ver\u00f6ffentlicht.<\/p>\n Die Tage bin ich auf nachfolgenden Tweet von The Shadowserver Foundation gesto\u00dfen, die das Internet nach FreePBX-Anlagen, die angreifbar sind, gescannt haben. Es wurden zum 29. August 2025 insgesamt 6620 angreifbare Anlagen gefunden, wobei mindestens 386 kompromittiert sind.<\/p>\n Viele Anlagen finden sich in den USA, in Deutschland sind es 410 Anlagen, wobei nach letztem Stand 69 als kompromittiert anzusehen sind.<\/p>\n","protected":false},"excerpt":{"rendered":" In Telefonanlagen mit der Software FreePBX gibt es die Schwachstelle CVE-2025-57819 mit einem CVSS Index von 10.0. Da brennt bildlich gesprochen die H\u00fctte, und die Anlagen m\u00fcssten unverz\u00fcglich gepatcht werden. Die Sicherheitsforscher von The Shadowserver Foundation haben das Internet gescannt … Weiterlesen Viele ungepatchte Anlagen<\/h2>\n
![\"FreePBX](\"https:\/\/i.postimg.cc\/sf63XMSz\/image.png\")
<\/a><\/p>\n