# CVE-2019-19006 - Bypass de Autenticação no FreePBX (Sangoma) > [!critical] CVSS 9.8 - CISA KEV - Bypass de Autenticação Crítico > Vulnerabilidade crítica de bypass de autenticação no FreePBX (Sangoma) permite acesso administrativo sem credenciais. Exploração ativa confirmada pelo CISA. ## Visão Geral O **CVE-2019-19006** é uma vulnerabilidade crítica de **bypass de autenticação** no [[FreePBX]], a solução de gerenciamento de PBX baseada em software mais utilizada no mundo. A falha reside na lógica de válidação de sessão do painel administrativo web, permitindo que atacantes remotos não autenticados obtenham acesso completo ao sistema de gerenciamento de telefonia sem fornecer credenciais válidas. A exploração bem-sucedida concede ao atacante controle total sobre a central telefônica, incluindo capacidade de interceptar chamadas, desviar ramais, exfiltrar registros de chamadas (CDRs), modificar configurações de roteamento e potencialmente usar o sistema como pivô para movimentação lateral na rede corporativa. Em ambientes empresariais, sistemas PBX frequentemente possuem acesso privilegiado a redes internas e dados de comunicação sensíveis. A inclusão desta vulnerabilidade no catálogo CISA Known Exploited Vulnerabilities (KEV) em março de 2022 confirma exploração ativa em ambientes reais. O FreePBX é amplamente utilizado por pequenas e médias empresas no Brasil e na América Latina, onde sistemas de telefonia baseados em software open source têm alta adoção devido ao custo reduzido em comparação com soluções proprietárias. ## Produtos Afetados | Produto | Versão Afetada | Versão Corrigida | |---------|---------------|-----------------| | FreePBX | < 15.0.16.62 | 15.0.16.62+ | | FreePBX | < 14.0.13.17 | 14.0.13.17+ | | FreeSWITCH (dependente) | Configurações expostas via admin | Atualizar FreePBX | ## Detalhes Técnicos A vulnerabilidade afeta o mecanismo de autenticação do módulo de administração web do FreePBX: 1. **Bypass de sessão:** A lógica de verificação de autenticação pode ser contornada com requisições especialmente elaboradas 2. **Acesso administrativo completo:** O atacante obtém permissões equivalentes ao administrador do sistema 3. **Sem credenciais necessárias:** Não é preciso conhecer usuário ou senha válidos 4. **Exploração via HTTP/HTTPS:** A falha é explorável remotamente contra o painel web exposto **Vetor de ataque:** Rede (AV:N) · Complexidade baixa (AC:L) · Sem privilégios necessários (PR:N) · Sem interação do usuário (UI:N) ## Mitigação **Ação imediata:** - Atualizar FreePBX para versão 15.0.16.62 ou superior (branch 15) - Atualizar FreePBX para versão 14.0.13.17 ou superior (branch 14) - Aplicar patch de emergência disponível no repositório oficial Sangoma **Medidas de contenção:** - Restringir acesso ao painel administrativo FreePBX via firewall (permitir apenas IPs gerenciamento) - Desabilitar acesso externo à interface de administração se não for necessário - Implementar autenticação multifator (MFA) no painel admin - Monitorar logs de acesso para tentativas de autenticação anômalas - Auditar configurações de ramais e rotas de chamadas em busca de modificações não autorizadas > [!latam] Relevância para Brasil e América Latina > O FreePBX é amplamente utilizado por PMEs no Brasil e LATAM como solução de telefonia empresarial de baixo custo. Provedores de serviços de comunicação (ISPs, operadoras regionais) e empresas de suporte técnico frequentemente mantêm múltiplas instâncias para clientes, ampliando a superfície de ataque. Organizações no setor financeiro, jurídico e de saúde que utilizam FreePBX devem priorizar a atualização imediatamente devido ao potencial de interceptação de comúnicações sensíveis. ## Notas Relacionadas **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1059-command-and-scripting-interpreter|T1059]] **Setores em risco:** [[financial]] · [[healthcare]] · [[government]] **Tecnologia:** [[voip-security]] · [[pbx-infrastructure]] **CVEs relacionados:** [[cve-2021-27101|CVE-2021-27101]] · [[cve-2021-22175|CVE-2021-22175]] ## Referências - [NVD - CVE-2019-19006](https://nvd.nist.gov/vuln/detail/CVE-2019-19006) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Sangoma FreePBX Security Advisory](https://www.sangoma.com/freepbx/vulnerabilities/) - [Exploit-DB](https://www.exploit-db.com/search?cve=CVE-2019-19006)