El equipo de seguridad de Sangoma Freepbx ha emitido una advertencia de asesoramiento sobre una vulnerabilidad de día cero de FreEPBX explotada activamente que afecta a los sistemas con un panel de control de administrador (ACP) expuesto a Internet manifiesto.
FreEPBX es una plataforma de intercambio de sucursales privadas (PBX) de código hendido utilizada ampliamente por las empresas, los centros de llamadas y los proveedores de servicios para gobernar las comunicaciones de voz. Está construido sobre Asterisk, un servidor de comunicación de código hendido.
La vulnerabilidad, asignó el identificador CVE CVE-2025-57819lleva una puntuación CVSS de 10.0, lo que indica la máxima compostura.
«Los datos aplicados por el heredero insuficientemente desinfectados permiten un llegada no autenticado al administrador de FreEPBX, lo que lleva a la manipulación arbitraria de la pulvínulo de datos y la ejecución del código remoto», dijeron los mantenedores del tesina en un aviso.
El problema afecta las siguientes versiones –
- Freepbx 15 antaño del 15.0.66
- Freepbx 16 antaño del 16.0.89, y
- Freepbx 17 antaño del 17.0.3
Sangoma dijo que un heredero no competente comenzó a entrar a múltiples sistemas FreepbX traducción 16 y 17 conectados a Internet a partir del 21 de agosto de 2025, específicamente aquellos que tienen listas de control de llegada IP o de llegada IP inadecuados al procesamiento de la entrada de IP al módulo comercial «endpoint».
El llegada original obtenido usando este método se combinó con otros pasos para obtener llegada potencialmente a nivel de raíz en los hosts de destino, agregó.
A la luz de la explotación activa, se aconseja a los usuarios que actualicen a las últimas versiones compatibles de FreEPBX y restrinjan el llegada manifiesto al panel de control del administrador. Incluso se recomienda a los usuarios que escanean sus entornos para los siguientes indicadores de compromiso (COI) –
- Archivo «/etc/freepbx.conf» recientemente modificado o faltante
- Presencia del archivo «/var/www/html/.clean.sh» (este archivo no debe existir en los sistemas normales)
- Solicitudes de publicación sospechosas a «Modular.php» en los registros de servidor web de Apache que datan del al menos 21 de agosto de 2025
- Las llamadas telefónicas realizadas a la extensión 9998 en los registros de llamadas de asterisco y los CDR son inusuales (a menos que se configurara anteriormente)
- Beneficiario sospechoso de «Ampuser» en la tabla de pulvínulo de datos Ampusers u otros usuarios desconocidos
«Estamos viendo la explotación activa de Freepbx en la naturaleza con la actividad rastreada hasta el 21 de agosto y las puertas traseras que se retiran posteriormente de la compromiso», dijo el CEO de WatchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.
«Si acertadamente es temprano, FreEPBX (y otras plataformas PBX) han sido durante mucho tiempo un campo de caza privilegiado para pandillas de ransomware, corredores de llegada original y grupos de fraude que abusan de la facturación premium. Si usa FreEPBX con un módulo de punto final, asuma compromiso. Desconecte los sistemas de inmediato. Las demoras solo aumentarán el radiodifusión de la arranque».
Poner al día
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el viernes CVE-2025-57819 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requiere que las agencias federales de rama ejecutiva civil (FCEB) apliquen las fijas antaño del 19 de septiembre de 2025.
«Sangoma Freepbx contiene una vulnerabilidad de evitar la autenticación oportuno a los datos proporcionados por el heredero insuficientemente desinfectados permiten un llegada no autenticado al administrador de Freepbx que conduce a la manipulación de la pulvínulo de datos arbitraria y la ejecución de código remoto», dijo la agencia.
