Más de 900 instancias de Sangoma FreePBX comprometidas por ataques web
Publicado el
Más de 900 instancias de Sangoma FreePBX comprometidas
La Shadowserver Foundation ha informado que más de 900 instancias de Sangoma FreePBX están actualmente infectadas con web shells como parte de una serie de ataques que comenzaron a explotar una vulnerabilidad de inyección de comandos desde diciembre de 2025. Entre estas instancias comprometidas, se han contabilizado 401 en Estados Unidos, 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia.
La entidad sin ánimo de lucro ha señalado que estos compromisos probablemente se realizaron aprovechando la vulnerabilidad CVE-2025-64328, que posee una puntuación CVSS de 8.6, indicando un alto nivel de severidad. Esta falla de seguridad permite la ejecución de comandos arbitrarios en el host subyacente por parte de cualquier usuario que tenga acceso al panel de administración de FreePBX. Según FreePBX, "un atacante podría utilizar esta vulnerabilidad para obtener acceso remoto al sistema como usuario asterisk".
Esta vulnerabilidad afecta a todas las versiones de FreePBX superiores o iguales a la 17.0.2.36, y fue resuelta en la versión 17.0.3. Como medidas de mitigación, se aconseja implementar controles de seguridad que aseguren que solo los usuarios autorizados tengan acceso al Panel de Control del Administrador de FreePBX (ACP), restringir el acceso desde redes hostiles al ACP, y actualizar el módulo de filestore a la última versión disponible.
La vulnerabilidad ha estado bajo explotación activa, lo que llevó a la CISA a incluirla en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) a principios de este mes. En un informe publicado recientemente, Fortinet FortiGuard Labs reveló que el actor de amenazas detrás de la operación de fraude cibernético conocida como INJ3CTOR3 ha estado utilizando CVE-2025-64328 desde principios de diciembre de 2025 para desplegar un web shell denominado EncystPHP.
"Al aprovechar los contextos administrativos de Elastix y FreePBX, el web shell opera con privilegios elevados, permitiendo la ejecución de comandos arbitrarios en el host comprometido y la iniciación de actividades de llamadas salientes a través del entorno PBX", señaló la empresa de ciberseguridad.
Se recomienda a los usuarios de FreePBX que actualicen sus implementaciones a la última versión lo antes posible para contrarrestar estas amenazas activas.