La Fundación Shadowserver ha revelada que más de 900 instancias de Sangoma FreePBX siguen infectadas con web shells como parte de los ataques que aprovecharon una vulnerabilidad de inyección de comandos que comenzaron en diciembre de 2025.

De estos, 401 instancias se encuentran en EE. UU., seguidos de 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia.

La entidad sin fines de lucro dijo que es probable que los compromisos se logren mediante la explotación del CVE-2025-64328 (puntuación CVSS: 8,6), una falla de seguridad de alta gravedad que podría permitir la inyección de comandos después de la autenticación.

«El impacto es que cualquier usuario con acceso al panel de administración de FreePBX podría aprovechar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el host subyacente», dijo FreePBX dijo en un aviso sobre la falla en noviembre de 2025. «Un atacante podría aprovechar esto para obtener acceso remoto al sistema como usuario con asterisco».

adsense

La vulnerabilidad afecta a las versiones de FreePBX superiores a la 17.0.2.36 inclusive. Se resolvió en la versión 17.0.3. Como medida paliativa, se recomienda añadir controles de seguridad para garantizar que solo los usuarios autorizados tengan acceso al Panel de Control de Administración (ACP) de FreePBX, restringir el acceso al ACP desde redes hostiles y actualizar el módulo de almacenamiento de archivos a la última versión.

Desde entonces, la vulnerabilidad ha sido objeto de explotación activa en estado salvaje, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) a agregar pasó a su catálogo de vulnerabilidades explotadas conocidas (KEV) a principios de este mes.

Fuente: Fundación Shadowserver

En un informe publicado a finales del mes pasado, Fortinet FortiGuard Labs reveló que el actor de amenazas detrás de la operación de fraude cibernético con el nombre en código INJ3CTOR3 ha estado explotando CVE-2025-64328 a principios de diciembre de 2025 para ofrecer un shell web con el nombre en código EncystPHP.

«Al aprovechar los contextos administrativos de Elastix y FreePBX, el shell web funciona con privilegios elevados, lo que permite la ejecución arbitraria de comandos en el host comprometido e inicia la actividad de llamadas salientes a través del entorno PBX», señaló la empresa de ciberseguridad.

Se recomienda a los usuarios de FreePBX que actualicen sus despliegues de FreePBX a la última versión lo antes posible para contrarrestar las amenazas activas.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.