A Shadowserver Foundation revelou que mais de 900 instâncias do Sangoma FreePBX continuam infectadas por web shells, devido a ataques que exploram uma vulnerabilidade de command injection desde dezembro de 2025.
Dessas, 401 estão localizadas nos Estados Unidos, seguidas por 51 no Brasil, 43 no Canadá, 40 na Alemanha e 36 na França.
A organização sem fins lucrativos informou que os ataques provavelmente ocorrem por meio da exploração da falha identificada como
CVE-2025-64328
, classificada com severidade alta (CVSS 8.6).
Essa vulnerabilidade permite a execução de comandos após a autenticação.
Em comunicado divulgado em novembro de 2025, o FreePBX explicou que qualquer usuário com acesso ao painel administrativo pode explorar a falha para executar comandos arbitrários no sistema operacional subjacente.
“Um atacante pode usar essa vulnerabilidade para obter acesso remoto ao sistema como o usuário asterisk”, alertou a empresa.
A vulnerabilidade afeta versões do FreePBX iguais ou superiores à 17.0.2.36 e foi corrigida na versão 17.0.3.
Como medidas mitigatórias, recomenda-se implementar controles de segurança para garantir que apenas usuários autorizados acessem o FreePBX Administrator Control Panel (ACP), restringir o acesso a redes hostis e atualizar o módulo filestore para a versão mais recente.
Desde então, a falha tem sido explorada ativamente, o que levou a U.S.
Cybersecurity and Infrastructure Security Agency (CISA) a incluí-la em seu catálogo Known Exploited Vulnerabilities (KEV) no início deste mês.
Em relatório divulgado no final do mês passado, o Fortinet FortiGuard Labs apontou que a ameaça por trás da operação de cyberfraude chamada INJ3CTOR3 tem explorado a
CVE-2025-64328
desde dezembro de 2025 para instalar um web shell conhecido como EncystPHP.
“Ao aproveitar o contexto administrativo do Elastix e FreePBX, o web shell opera com privilégios elevados, possibilitando a execução arbitrária de comandos no host comprometido e desencadeando atividades de chamadas de saída no ambiente PBX”, destacou a empresa de cibersegurança.
Usuários do FreePBX são fortemente recomendados a atualizar suas instalações para a versão mais recente o quanto antes, a fim de se protegerem contra essas ameaças ativas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...