La Fundación Shadowserver ha revelado que más de 900 instancias de Sangoma FreePBX aún permanecen infectadas con web shells como parte de ataques que explotaron una vulnerabilidad de inyección de comandos a partir de diciembre de 2025.
De estos, 401 casos se encuentran en Estados Unidos, seguidos de 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia.
La entidad sin fines de beneficio dijo que los compromisos probablemente se logren mediante la explotación de CVE-2025-64328 (puntaje CVSS: 8.6), una falta de seguridad de ingreso pesadez que podría permitir la inyección de comandos posteriores a la autenticación.
“El impacto es que cualquier agraciado con paso al panel de agencia de FreePBX podría usar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el host subyacente”, dijo FreePBX en un aviso sobre la falta en noviembre de 2025. “Un atacante podría usar esto para obtener paso remoto al sistema como agraciado de asterisco”.
La vulnerabilidad afecta a las versiones de FreePBX superiores a la 17.0.2.36 inclusive. Se resolvió en la lectura 17.0.3. Como mitigaciones, se recomienda juntar controles de seguridad para certificar que solo los usuarios autorizados tengan paso al Panel de control del administrador (ACP) de FreePBX, restringir el paso desde redes hostiles al ACP y poner al día el módulo de almacén de archivos a la última lectura.
Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en la naturaleza, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) a principios de este mes.
 |
| Fuente: La Fundación Shadowserver |
En un crónica publicado a finales del mes pasado, Fortinet FortiGuard Labs reveló que el actor de amenazas detrás de la operación de fraude cibernético con nombre en código INJ3CTOR3 ha estado explotando CVE-2025-64328 desde principios de diciembre de 2025 para entregar un shell web con nombre en código EncystPHP.
“Al usar los contextos administrativos de Elastix y FreePBX, el shell web opera con privilegios elevados, lo que permite la ejecución de comandos arbitrarios en el host comprometido e inicia la actividad de llamadas salientes a través del entorno PBX”, señaló la compañía de ciberseguridad.
Se recomienda a los usuarios de FreePBX que actualicen sus implementaciones de FreePBX a la última lectura lo ayer posible para contrarrestar las amenazas activas.
