A equipe de segurança do Sangoma FreePBX emitiu um aviso sobre uma vulnerabilidade zero-day no FreePBX que está sendo ativamente explorada, afetando sistemas com o painel de controle do administrador (ACP) exposto à internet pública.
O FreePBX é uma plataforma open-source de private branch exchange (PBX) amplamente utilizada por empresas, call centers e provedores de serviços para gerenciar comunicações de voz.
Ele é construído sobre o Asterisk, um servidor de comunicação open-source.
A vulnerabilidade, identificada pelo CVE
CVE-2025-57819
, possui uma pontuação CVSS de 10.0, indicando gravidade máxima.
"Dados fornecidos pelo usuário insuficientemente sanitizados permitem acesso não autenticado ao FreePBX Administrator, levando à manipulação arbitrária do banco de dados e execução remota de código", informaram os mantenedores do projeto em um comunicado.
O problema afeta as seguintes versões:
- FreePBX 15 anteriores à 15.0.66
- FreePBX 16 anteriores à 16.0.89
- FreePBX 17 anteriores à 17.0.3
A Sangoma afirmou que um usuário não autorizado começou a acessar vários sistemas FreePBX versão 16 e 17 conectados à internet a partir de 21 de agosto de 2025 ou antes, especificamente aqueles que possuem filtragem de IP inadequada ou listas de controle de acesso (ACLs), explorando uma falha na sanitização do input fornecido pelo usuário no módulo comercial "endpoint".
O acesso inicial obtido por meio deste método foi então combinado com outras etapas para possivelmente obter acesso root nos hosts atacados.
Diante da exploração ativa, os usuários são aconselhados a atualizar para as versões mais recentes suportadas do FreePBX e restringir o acesso público ao painel de controle do administrador.
Também é recomendada a varredura dos ambientes em busca dos seguintes indicadores de comprometimento (IoCs):
- Arquivo "/etc/freepbx.conf" recentemente modificado ou ausente
- Presença do arquivo "/var/www/html/.clean.sh" (este arquivo não deve existir em sistemas normais)
- Requisições POST suspeitas para "modular.php" nos logs do servidor web Apache datando de pelo menos 21 de agosto de 2025
- Chamadas realizadas para a extensão 9998 nos logs de chamadas Asterisk e CDRs são incomuns (a menos que configuradas previamente)
- Usuário suspeito "ampuser" na tabela ampusers do banco de dados ou usuários desconhecidos
"Estamos observando exploração ativa do FreePBX em ambiente real, com atividade rastreada desde 21 de agosto e backdoors instalados após o comprometimento", afirmou Benjamin Harris, CEO da watchTowr, em comunicado divulgado para o site The Hacker News.
"Embora seja cedo, o FreePBX (e outras plataformas PBX) sempre foram um terreno favorito para grupos de ransomware, brokers de acesso inicial e fraudes envolvendo cobrança premium.
Se você utiliza FreePBX com o módulo endpoint, presuma comprometimento.
Desconecte os sistemas imediatamente.
A demora só aumentará o raio de impacto."
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...