La Fundación Shadowserver reveló que más de 900 instancias de Sangoma FreePBX permanecen infectadas con web shells como parte de un ataque que explota una vulnerabilidad de inyección de comandos a partir de diciembre de 2025.
De ellos, 401 están en Estados Unidos, seguidos de 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia.
La organización sin fines de lucro dijo que la infracción probablemente se logró mediante la explotación de CVE-2025-64328 (puntuación CVSS: 8,6), una falla de seguridad de alta gravedad que podría permitir la inyección de comandos posteriores a la autenticación.
«El impacto es que un usuario con acceso al panel de administración de FreePBX podría aprovechar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el host subyacente. Un atacante podría aprovechar esto para obtener acceso remoto al sistema como usuario de Asterisk», dijo FreePBX en un aviso de noviembre de 2025 sobre la falla.
Esta vulnerabilidad afecta a las versiones 17.0.2.36 y posteriores de FreePBX. Este problema se resolvió en la versión 17.0.3. Como mitigación, recomendamos agregar controles de seguridad para garantizar que solo los usuarios autorizados puedan acceder al Panel de control del administrador (ACP) de FreePBX, restringir el acceso al ACP desde redes hostiles y actualizar el módulo Filestore a la última versión.
Desde entonces, la vulnerabilidad ha sido explotada libremente y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) la agregó a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a principios de este mes.
Fuente: Fundación Shadow Server
En un informe publicado a finales del mes pasado, Fortinet FortiGuard Labs reveló que los atacantes detrás de la operación de fraude cibernético, con nombre en código INJ3CTOR3, han estado explotando CVE-2025-64328 para entregar un shell web con nombre en código EncystPHP desde principios de diciembre de 2025.
«Al aprovechar el contexto administrativo de Elastix y FreePBX, el shell web puede operar con privilegios elevados, ejecutar comandos arbitrarios en un host comprometido e iniciar la actividad de llamadas salientes a través del entorno PBX», dijo la firma de ciberseguridad.
Se recomienda a los usuarios de FreePBX que actualicen sus implementaciones de FreePBX a la última versión lo antes posible para protegerse contra amenazas activas.
Source link
