Un exploit de día cero crítico dirigido a los sistemas FreEPBX 16 y 17 expuestos. Los actores de amenaza están abusando de una vulnerabilidad de escalada de privilegios no autenticada en el módulo de administrador de punto final comercial, permitiendo la ejecución del código remoto (RCE) cuando el panel de control del administrador se puede acceder desde Internet público.
Con compromisos activos detectados desde el 21 de agosto de 2025, los administradores deben actuar de inmediato para contener la amenaza.
Control de llave
1. RCE de día cero en Freepbx Endpoint Manager dirigido a UIS de administración expuesta a Internet.
2. Bloquee inmediatamente el acceso externo e instale actualizaciones de punto final etiquetado/etiquetado.
3. Verifique los indicadores de compromiso, los sistemas de aislamiento/reconstrucción y la restauración de las 21 copias de seguridad anteriores a agosto.
Bloqueo de firewall
Freepbx fijado que las organizaciones primero deben verificar si su instancia FreEPBX/PBXACT es accesible externamente.
Si el Panel de control del Administrador (ACP) se puede acceder en los puertos 80 o 443, bloquee todo el tráfico externo en el perímetro de la red.
Alternativamente, emplee el módulo de firewall freepbx para restringir la zona de Internet/externa solo a los anfitriones de confianza conocidos.
Después del bloqueo, confirme el acceso solo local al probar la conectividad ACP desde una red no confiable (p. Ej., Datos celulares).
A continuación, actualice el módulo de punto final a las compilaciones de borde proporcionadas para las pruebas. Los usuarios de Freepbx V16/V17 pueden ejecutar:
Los usuarios PBXACT V16 y V17 deben especificar etiquetas estables:
Se seguirá una liberación completa de QA dentro de las 12 horas; Realice una actualización de módulo estándar una vez disponible a través de Admin → Administrador del módulo.
Mitigaciones
Para detectar una infección potencial, los administradores deben realizar las siguientes comprobaciones:
Asegúrese de /etc/freepbx.conf todavía existe. Busque el script de gotero malicioso /var/www/html/.clean.sh escanee los registros de apache para las solicitudes de publicación a modular.php desde el 21 de agosto. Inspeccione los registros de asterisco para las llamadas a la extensión 9998. Consulte MySQL para ampusores sospechosos.
Si hay indicadores presentes, aisle el sistema y el plan de la restauración. Preserva las copias de seguridad anteriores al 21 de agosto, implementa una instalación limpia de Freepbx con configuraciones de firewall endurecidas, restaure datos y gire todas las credenciales (sistema, troncos SIP, extensiones, correo de voz, UCP).
La colección forense se puede automatizar utilizando el script Collects_forensics_freepbx.sh de la comunidad en AGPLV3 a registros de instantáneas, archivos de configuración y estados de proceso para su análisis.
Los usuarios que ejecutan versiones FreEPBX antes de V16 deben permanecer atentos; Sangoma continúa investigando la causa raíz y publicará una CVE una vez que la vulnerabilidad haya sido evaluada por completo.
Hasta entonces, deshabilitar el acceso a Internet a ACP y aplicar las actualizaciones de módulos de punto final de borde o estable sigue siendo las defensas más efectivas.
¿Cansado de llenar formularios para cuestionarios de seguridad y cumplimiento? ¡Automúalos en minutos con 1UP! Comience su prueba gratuita ahora!
