El equipo de seguridad de Sangoma Freepbx ha emitido una advertencia de asesoramiento sobre una vulnerabilidad de día cero de FreEPBX explotada activamente que afecta a los sistemas con un panel de control de administrador (ACP) expuesto a Internet conocido.
FreEPBX es una plataforma de intercambio de sucursales privadas (PBX) de código extenso utilizada ampliamente por las empresas, los centros de llamadas y los proveedores de servicios para dirigir las comunicaciones de voz. Está construido sobre Asterisk, un servidor de comunicación de código extenso.
La vulnerabilidad, asignó el identificador CVE CVE-2025-57819lleva una puntuación CVSS de 10.0, lo que indica la máxima trascendencia.
“Los datos aplicados por el beneficiario insuficientemente desinfectados permiten un entrada no autenticado al administrador de FreEPBX, lo que lleva a la manipulación arbitraria de la colchoneta de datos y la ejecución del código remoto”, dijeron los mantenedores del esquema en un aviso.
El problema afecta las siguientes versiones –
- Freepbx 15 ayer del 15.0.66
- Freepbx 16 ayer del 16.0.89, y
- Freepbx 17 ayer del 17.0.3
Sangoma dijo que un beneficiario no acreditado comenzó a lograr a múltiples sistemas FreepbX traducción 16 y 17 conectados a Internet a partir del 21 de agosto de 2025, específicamente aquellos que tienen listas de control de entrada IP o de entrada IP inadecuados al procesamiento de la entrada de IP al módulo comercial “endpoint”.
El entrada original obtenido usando este método se combinó con otros pasos para obtener entrada potencialmente a nivel de raíz en los hosts de destino, agregó.
A la luz de la explotación activa, se aconseja a los usuarios que actualicen a las últimas versiones compatibles de FreEPBX y restrinjan el entrada conocido al panel de control del administrador. Asimismo se recomienda a los usuarios que escanean sus entornos para los siguientes indicadores de compromiso (COI) –
- Archivo “/etc/freepbx.conf” recientemente modificado o faltante
- Presencia del archivo “/var/www/html/.clean.sh” (este archivo no debe existir en los sistemas normales)
- Solicitudes de publicación sospechosas a “Modular.php” en los registros de servidor web de Apache que datan del al menos 21 de agosto de 2025
- Las llamadas telefónicas realizadas a la extensión 9998 en los registros de llamadas de asterisco y los CDR son inusuales (a menos que se configurara anteriormente)
- Beneficiario sospechoso de “Ampuser” en la tabla de colchoneta de datos Ampusers u otros usuarios desconocidos
“Estamos viendo la explotación activa de Freepbx en la naturaleza con la actividad rastreada hasta el 21 de agosto y las puertas traseras que se retiran posteriormente de la compromiso”, dijo el CEO de WatchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.
“Si proporcionadamente es temprano, FreEPBX (y otras plataformas PBX) han sido durante mucho tiempo un campo de caza preferido para pandillas de ransomware, corredores de entrada original y grupos de fraude que abusan de la facturación premium. Si usa FreEPBX con un módulo de punto final, asuma compromiso. Desconecte los sistemas de inmediato. Las demoras solo aumentarán el radiodifusión de la crisis”.
Renovar
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el viernes CVE-2025-57819 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requiere que las agencias federales de rama ejecutiva civil (FCEB) apliquen las fijas ayer del 19 de septiembre de 2025.
“Sangoma Freepbx contiene una vulnerabilidad de prescindir la autenticación oportuno a los datos proporcionados por el beneficiario insuficientemente desinfectados permiten un entrada no autenticado al administrador de Freepbx que conduce a la manipulación de la colchoneta de datos arbitraria y la ejecución de código remoto”, dijo la agencia.
