Het Sangoma FreepBX-beveiligingsteam heeft een advieswaarschuwing uitgegeven over een actief uitgebuite FreepBX Zero Day-kwetsbaarheid die gevolgen heeft voor systemen met een beheerdercontrolepaneel (ACP) dat is blootgesteld aan het openbare internet.
FreepBX is een open-source private Branch Exchange (PBX) -platform dat veel wordt gebruikt door bedrijven, callcenters en serviceproviders om spraakcommunicatie te beheren. Het is gebouwd bovenop Asterisk, een open-source communicatieserver.
De kwetsbaarheid, toegewezen de CVE -ID CVE-2025-57819draagt een CVSS -score van 10,0, wat duidt op maximale ernst.
“Onvoldoende gesaneerde door de gebruiker geleverde gegevens kunnen niet-geauthenticeerde toegang tot FreePBX-beheerder, wat leidt tot willekeurige databasemanipulatie en uitvoering van de externe code,” zeiden de projectbeheerders in een advies.
Het probleem heeft invloed op de volgende versies –
- FreePBX 15 vóór 15.0.66
- FreePBX 16 vóór 16.0.89, en
- FreePBX 17 vóór 17.0.3
Sangoma zei dat een niet-geautoriseerde gebruiker begon met toegang tot meerdere FreePBX-versie 16 en 17 systemen die zijn verbonden met internet vanaf of vóór 21 augustus 2025, met name die welke onvoldoende IP-filtering of toegangscontrolelijsten (ACLS) hebben, door te profiteren van een sanitisatieprobleem in de verwerking van gebruikersaanvraag in de commerciële “eindpunten” Module “Module.” Module.
De initiële toegang verkregen met behulp van deze methode werd vervolgens gecombineerd met andere stappen om mogelijk toegang op wortelniveau op de doelhosts te krijgen, voegde het eraan toe.
In het licht van actieve exploitatie wordt gebruikers geadviseerd om te upgraden naar de nieuwste ondersteunde versies van FreePBX en de openbare toegang tot het bedieningspaneel van de beheerder te beperken. Gebruikers wordt ook geadviseerd om hun omgeving te scannen op de volgende indicatoren van compromis (IOC’s) –
- Bestand “/etc/freepbx.conf” onlangs gewijzigd of ontbreekt
- Aanwezigheid van het bestand “/var/www/html/.clean.sh” (dit bestand mag niet bestaan op normale systemen)
- Verdachte postverzoeken aan “Modular.php” in Apache Web Server -logboeken die dateren uit ten minste 21 augustus 2025
- Telefoongesprekken geplaatst op Extension 9998 in Asterisk Call -logs en CDR’s zijn ongebruikelijk (tenzij eerder geconfigureerd)
- Verdachte “ampuser” -gebruiker in de databasetabel van Ampusers of andere onbekende gebruikers
“We zien actieve exploitatie van Freepbx in het wild met activiteit die tot 21 augustus is getraceerd en achterdoor wordt na de compromis geslagen,” zei Benjamin Harris, CEO van Watchtowr in een verklaring gedeeld met het Hacker News.
“Hoewel het vroeg is, zijn FreepBX (en andere PBX -platforms) al lang een favoriete jachtgebied geweest voor ransomware -bendes, initiële toegangsmakelaars en fraudegroepen die premium facturering misbruiken. Als u FreePBX gebruikt met een eindpuntmodule, neem dan een compromis aan. Disconnectiesystemen zullen onmiddellijk de blastradius verhogen.”
