29 de agosto de 2025Ravie LakshmananDía cero / vulnerabilidad
El equipo de seguridad de Sangoma Freepbx ha emitido una advertencia de asesoramiento sobre una vulnerabilidad de día cero de FreEPBX explotada activamente que afecta a los sistemas con un panel de control de administrador (ACP) expuesto a Internet público.
Freepbx es una plataforma de intercambio de sucursales privadas de código abierto (PBX) ampliamente utilizada por las empresas, los centros de llamadas y los proveedores de servicios para administrar las comunicaciones de voz. Está construido sobre Asteriscoun servidor de comunicación de código abierto.
La vulnerabilidad, asignó el identificador CVE CVE-2025-57819lleva una puntuación CVSS de 10.0, lo que indica la máxima gravedad.
«Los datos aplicados por el usuario insuficientemente desinfectados permiten el acceso no autenticado al administrador de FreEPBX, lo que lleva a la manipulación de la base de datos arbitraria y la ejecución del código remoto», los mantenedores del proyecto dicho en un aviso.
El problema afecta las siguientes versiones –
Freepbx 15 antes del 15.0.66
Freepbx 16 antes del 16.0.89, y
Freepbx 17 antes del 17.0.3
Sangoma dijo que un usuario no autorizado comenzó a acceder a múltiples sistemas FreepbX versión 16 y 17 conectados a Internet a partir del 21 de agosto de 2025, específicamente aquellos que tienen listas de control de acceso IP o de acceso IP inadecuados al procesamiento de la entrada de IP al módulo comercial «endpoint».
El acceso inicial obtenido usando este método se combinó con otros pasos para obtener acceso potencialmente a nivel de raíz en los hosts de destino, agregó.
A la luz de la explotación activa, los usuarios son aconsejado Para actualizar a las últimas versiones compatibles de FreEPBX y restringir el acceso público al panel de control del administrador. También se recomienda a los usuarios que escanean sus entornos para los siguientes indicadores de compromiso (COI) –
Archivo «/etc/freepbx.conf» recientemente modificado o faltante
Presencia del archivo «/var/www/html/.clean.sh» (este archivo no debe existir en los sistemas normales)
Solicitudes de publicación sospechosas a «Modular.php» en los registros de servidor web de Apache que datan del al menos 21 de agosto de 2025
Las llamadas telefónicas realizadas a la extensión 9998 en los registros de llamadas de asterisco y los CDR son inusuales (a menos que se configurara anteriormente)
Usuario sospechoso de «Ampuser» en la tabla de base de datos Ampusers u otros usuarios desconocidos
«Estamos viendo la explotación activa de Freepbx en la naturaleza con la actividad rastreada hasta el 21 de agosto y las puertas traseras que se retiran después de la compromiso», dijo el CEO de WatchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.
«Si bien es temprano, FreEPBX (y otras plataformas PBX) han sido durante mucho tiempo un campo de caza favorito para pandillas de ransomware, corredores de acceso inicial y grupos de fraude que abusan de la facturación premium. Si usa FreEPBX con un módulo de punto final, asuma compromiso. Desconecte los sistemas de inmediato. Las demoras solo aumentarán el radio de la explosión».
Actualizar
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) el viernes agregado CVE-2025-57819 a su conocido catálogo de vulnerabilidades explotadas (KEV), que requiere que las agencias federales de rama ejecutiva civil (FCEB) apliquen las soluciones antes del 19 de septiembre de 2025.
«Sangoma Freepbx contiene una vulnerabilidad de derivación de autenticación debido a los datos proporcionados por el usuario insuficientemente desinfectados permiten un acceso no autenticado al administrador de FreEPBX que conduce a la manipulación de la base de datos arbitraria y la ejecución del código remoto», la agencia «, la agencia dicho.