Freepbx

A Shadowserver Foundation revelou que mais de 900 instâncias do Sangoma FreePBX estão infectadas com web shells, resultado de ataques que exploraram uma vulnerabilidade de injeção de comando, identificada como CVE-2025-64328, com uma pontuação CVSS de 8.6. Essa falha de segurança, que permite a execução de comandos arbitrários por usuários com acesso ao painel de administração do FreePBX, foi descoberta em dezembro de 2025 e afeta versões do FreePBX a partir da 17.0.2.36. A vulnerabilidade foi corrigida na versão 17.0.3. Entre as instâncias comprometidas, 401 estão localizadas nos Estados Unidos e 51 no Brasil. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) devido à sua exploração ativa. A Fortinet FortiGuard Labs também relatou que um grupo de atacantes, conhecido como INJ3CTOR3, está utilizando essa vulnerabilidade para implantar um web shell chamado EncystPHP, que permite a execução de comandos com privilégios elevados e a realização de chamadas externas através do ambiente PBX. Os usuários do FreePBX são aconselhados a atualizar suas implementações para a versão mais recente para mitigar os riscos associados a essa ameaça.

Recentemente, foram divulgadas múltiplas vulnerabilidades de segurança na plataforma de troca de ramais privada de código aberto FreePBX, incluindo uma falha crítica que pode permitir a bypass de autenticação em configurações específicas. As vulnerabilidades, descobertas pela Horizon3.ai e reportadas em setembro de 2025, incluem: CVE-2025-61675 e CVE-2025-61678, ambas com pontuação CVSS de 8.6, que permitem injeções SQL autenticadas e upload de arquivos arbitrários, respectivamente. A CVE-2025-66039, com pontuação CVSS de 9.3, permite que atacantes contornem a autenticação ao configurar o ‘Authorization Type’ como ‘webserver’, possibilitando o acesso ao Painel de Controle do Administrador. Embora a configuração padrão do FreePBX não seja vulnerável, a ativação inadvertida dessa opção pode expor sistemas a ataques. As falhas foram corrigidas nas versões 16.0.92 e 17.0.6, lançadas em outubro de 2025, e 16.0.44 e 17.0.23, em dezembro de 2025. A recomendação é que os usuários evitem o uso do tipo de autenticação ‘webserver’ e realizem uma análise completa do sistema caso essa configuração tenha sido ativada.

A equipe de segurança do FreePBX, uma plataforma de troca privada de ramais amplamente utilizada, emitiu um alerta sobre uma vulnerabilidade zero-day que está sendo ativamente explorada. Identificada como CVE-2025-57819, a falha afeta versões do FreePBX 15, 16 e 17, permitindo acesso não autenticado ao painel de administração, o que pode resultar em manipulação arbitrária de banco de dados e execução remota de código. A exploração começou em 21 de agosto de 2025, afetando sistemas com controle de acesso inadequado. Os usuários são aconselhados a atualizar para as versões mais recentes e restringir o acesso público ao painel de administração. Indicadores de comprometimento incluem arquivos modificados ou ausentes, solicitações POST suspeitas e usuários desconhecidos no banco de dados. A situação é crítica, com a possibilidade de acesso root aos sistemas comprometidos, o que torna a resposta imediata essencial para mitigar riscos.

Administradores do FreePBX estão em alerta após a descoberta de uma vulnerabilidade crítica de 0-Day no módulo Endpoint Manager. Identificada em 21 de agosto de 2025, a falha permite que atacantes realizem escalonamento de privilégios não autenticados, levando à execução remota de código (RCE). Isso significa que invasores podem obter privilégios administrativos sem credenciais válidas, especialmente se a interface de administração estiver exposta a redes hostis. A equipe de segurança da Sangoma emitiu um aviso de emergência em 26 de agosto, recomendando que os operadores isolem imediatamente os sistemas afetados e bloqueiem o acesso público às portas 80 e 443. Além disso, é sugerido que os administradores verifiquem a presença do módulo Endpoint e apliquem o patch oficial ou removam o módulo vulnerável. A análise forense deve incluir a verificação de logs do servidor web e a busca por padrões de comprometimento. Para a proteção a longo prazo, recomenda-se a desativação de módulos comerciais não utilizados e a implementação de autenticação multifator (MFA) para acesso administrativo. A combinação de isolamento imediato, análise forense e endurecimento proativo pode ajudar a mitigar o impacto dessa vulnerabilidade.