900+ Sangoma FreePBX Sistemi Devam Eden Web Shell Saldırılarında Ele Geçirildi

Özet

arkadaşlar freepbx kullanan sistem yöneticilerine acil duyuru: 900’den fazla sistem ele geçirilmiş durumda. CVE-2025-64328 zafiyeti üzerinden web shell yerleştiriliyor sistemlere ve CISA bile artık resmi listesine almış. aktif saldırılar devam ediyor, hala yamalamadıysanız şanslısınız demektir.

Detaylar

sangoma freepbx sistemlerinde ortaya çıkan CVE-2025-64328 zafiyeti gerçekten ciddi boyutlara ulaşmış durumda. saldırganlar bu açığı kullanarak sistemlere web shell (web kabuğu) yerleştiriyorlar ve tam kontrolü ele geçiriyorlar. web shell dediğimiz şey basitçe saldırganın web üzerinden sunucuda istediği komutu çalıştırabildiği bir arka kapı mekanizması.

durum o kadar ciddiye alındı ki CISA (amerikan siber güvenlik ve altyapı güvenliği ajansı) bu zafiyeti KEV (bilinen istismar edilen zafiyetler) listesine ekledi. bu liste sadece teoride değil pratikte aktif olarak sömürülen açıkları içerir, yani “belki bir gün biri kullanır” değil “şu an kullanılıyor” demek.

en vahim kısmı ise 900’den fazla sistemin hala enfekte durumda olması. yani saldırganlar sistemlere girmiş, web shell yerleştirmiş ve muhtemelen hala erişimleri devam ediyor. freepbx voip (ip üzerinden sesli iletişim) sistemlerinde kullanıldığı için hassas iletişim verileri, kullanıcı bilgileri ve ağ erişimi gibi kritik bilgiler risk altında.

Etkilenen Sistemler

• Sangoma FreePBX tüm yamalanmamış sürümleri
• CVE-2025-64328 zafiyetine karşı yama uygulanmamış sistemler
• İnternet üzerinden erişilebilir durumda olan FreePBX kurulumları
• Özellikle güncellemesi ihmal edilmiş eski sürümler

Sistem Yöneticileri İçin Aksiyonlar

agalar yapmanız gerekenler sırasıyla şöyle:

1. Acil Yama Uygulaması

• Sangoma’nın resmi güvenlik güncellemesini derhal yükleyin
• FreePBX versiyonunuzu kontrol edin ve en güncel kararlı sürüme yükseltin

2. Sistem Taraması

# Web shell varlığını kontrol etmek için şüpheli dosyaları tarayın
find /var/www/html -name "*.php" -type f -mtime -30 -ls
find /var/www/html -name "*.php" -type f -exec grep -l "eval\|base64_decode\|exec\|shell_exec" {} \;

3. Log Analizi

# Apache/Nginx loglarında şüpheli aktivite kontrolü
grep -i "POST" /var/log/apache2/access.log | grep -i ".php"
grep -i "shell\|cmd\|exec" /var/log/apache2/access.log

4. Enfeksiyon Kontrolü

• Beklenmeyen yeni PHP dosyaları var mı kontrol edin
• Son 30 gün içinde değiştirilmiş dosyaları inceleyin
• Anormal network bağlantıları için netstat çıktısını kontrol edin

5. Güvenlik Duvarı Kuralları

• FreePBX yönetim paneline erişimi sadece güvenilir IP’lere kısıtlayın
• Gereksiz portları kapatın
• VPN üzerinden erişim zorunlu hale getirin

6. Yedekleme ve İzolasyon

• Eğer enfekte olduğunuzdan şüpheleniyorsanız sistemi izole edin
• Temiz bir yedekten geri yükleme yapın
• Tüm parolaları değiştirin (özellikle root, admin, database)

7. İzleme ve Monitoring

# Gerçek zamanlı dosya değişikliği izleme (inotify-tools ile)
apt-get install inotify-tools
inotifywait -m -r -e modify,create,delete /var/www/html/

kritik not: eğer sisteminiz zaten enfekte olduysa sadece yamayı uygulamak yeterli değil. saldırgan zaten içeride arka kapılar kurmuş olabilir. bu durumda temiz bir yeniden kurulum veya doğrulanmış yedekten dönüş en garantili yol.

Kaynaklar

• Orijinal haber
• CVE-2025-64328
• CISA KEV Kataloğu

Bu içerik AI tarafından oluşturulmuştur.