Mais de 900 instâncias do FreePBX infectadas por web shells
A Shadowserver Foundation revelou que mais de 900 instâncias do Sangoma FreePBX estão infectadas com web shells, resultado de ataques que exploraram uma vulnerabilidade de injeção de comando, identificada como CVE-2025-64328, com uma pontuação CVSS de 8.6. Essa falha de segurança, que permite a execução de comandos arbitrários por usuários com acesso ao painel de administração do FreePBX, foi descoberta em dezembro de 2025 e afeta versões do FreePBX a partir da 17.0.2.36. A vulnerabilidade foi corrigida na versão 17.0.3. Entre as instâncias comprometidas, 401 estão localizadas nos Estados Unidos e 51 no Brasil. A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) devido à sua exploração ativa. A Fortinet FortiGuard Labs também relatou que um grupo de atacantes, conhecido como INJ3CTOR3, está utilizando essa vulnerabilidade para implantar um web shell chamado EncystPHP, que permite a execução de comandos com privilégios elevados e a realização de chamadas externas através do ambiente PBX. Os usuários do FreePBX são aconselhados a atualizar suas implementações para a versão mais recente para mitigar os riscos associados a essa ameaça.