El equipo de seguridad de Sangoma Freepbx ha emitido una advertencia de asesoramiento sobre una vulnerabilidad de día cero de FreEPBX explotada activamente que afecta a los sistemas con un panel de control de administrador (ACP) expuesto a Internet público.
FreEPBX es una plataforma de intercambio de sucursales privadas (PBX) de código abierto utilizada ampliamente por las empresas, los centros de llamadas y los proveedores de servicios para administrar las comunicaciones de voz. Está construido sobre Asterisk, un servidor de comunicación de código abierto.
La vulnerabilidad, asignó el identificador CVE CVE-2025-57819lleva una puntuación CVSS de 10.0, lo que indica la máxima gravedad.
«Los datos aplicados por el usuario insuficientemente desinfectados permiten un acceso no autenticado al administrador de FreEPBX, lo que lleva a la manipulación arbitraria de la base de datos y la ejecución del código remoto», dijeron los mantenedores del proyecto en un aviso.
El problema afecta las siguientes versiones –
- Freepbx 15 antes del 15.0.66
- Freepbx 16 antes del 16.0.89, y
- Freepbx 17 antes del 17.0.3
Sangoma dijo que un usuario no autorizado comenzó a acceder a múltiples sistemas FreepbX versión 16 y 17 conectados a Internet a partir del 21 de agosto de 2025, específicamente aquellos que tienen listas de control de acceso IP o de acceso IP inadecuados al procesamiento de la entrada de IP al módulo comercial «endpoint».
El acceso inicial obtenido usando este método se combinó con otros pasos para obtener acceso potencialmente a nivel de raíz en los hosts de destino, agregó.
A la luz de la explotación activa, se aconseja a los usuarios que actualicen a las últimas versiones compatibles de FreEPBX y restrinjan el acceso público al panel de control del administrador. También se recomienda a los usuarios que escanean sus entornos para los siguientes indicadores de compromiso (COI) –
- Archivo «/etc/freepbx.conf» recientemente modificado o faltante
- Presencia del archivo «/var/www/html/.clean.sh» (este archivo no debe existir en los sistemas normales)
- Solicitudes de publicación sospechosas a «Modular.php» en los registros de servidor web de Apache que datan del al menos 21 de agosto de 2025
- Las llamadas telefónicas realizadas a la extensión 9998 en los registros de llamadas de asterisco y los CDR son inusuales (a menos que se configurara anteriormente)
- Usuario sospechoso de «Ampuser» en la tabla de base de datos Ampusers u otros usuarios desconocidos
«Estamos viendo la explotación activa de Freepbx en la naturaleza con la actividad rastreada hasta el 21 de agosto y las puertas traseras que se retiran después de la compromiso», dijo el CEO de WatchTowr, Benjamin Harris, en un comunicado compartido con The Hacker News.
«Si bien es temprano, FreEPBX (y otras plataformas PBX) han sido durante mucho tiempo un campo de caza favorito para pandillas de ransomware, corredores de acceso inicial y grupos de fraude que abusan de la facturación premium. Si usa FreEPBX con un módulo de punto final, asuma compromiso. Desconecte los sistemas de inmediato. Las demoras solo aumentarán el radio de la explosión».
Actualizar
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el viernes CVE-2025-57819 a su catálogo de vulnerabilidades explotadas (KEV) conocidas, que requiere que las agencias federales de rama ejecutiva civil (FCEB) apliquen las fijas antes del 19 de septiembre de 2025.
«Sangoma Freepbx contiene una vulnerabilidad de omitir la autenticación debido a los datos proporcionados por el usuario insuficientemente desinfectados permiten un acceso no autenticado al administrador de Freepbx que conduce a la manipulación de la base de datos arbitraria y la ejecución de código remoto», dijo la agencia.