Ataques exploram a CVE-2025-64328, uma injeção de comandos pós-autenticação no módulo framework do FreePBX, para manter acesso ao host e operar web shells em ambientes PBX expostos.
| Componente | Sangoma FreePBX, especialmente o módulo framework em versões a partir de 17[.]0[.]2[.]36 e antes da correção 17.0.3. |
| Vetor | Exploração pós-autenticação da CVE-2025-64328 por usuário com acesso ao painel FreePBX Administration, acionando uma rotina de teste de conexão SSH com parâmetros não sanitizados. |
| Impacto | Execução arbitrária de comandos no host subjacente, obtenção de acesso remoto como usuário asterisk e implantação de web shells em instâncias FreePBX comprometidas. |
| Prioridade | Atualizar o FreePBX para versão corrigida, restringir acesso ao painel administrativo e procurar artefatos de web shell, especialmente em instâncias expostas desde dezembro de 2025. |
| Versões | A falha afeta FreePBX em versões maiores ou iguais a 17[.]0[.]2[.]36 e foi corrigida na versão 17.0.3. |
| Artefatos | Web shell identificado como EncystPHP em ataques associados à operação INJ3CTOR3. |
| Distribuição | Mais de 900 instâncias permaneciam infectadas; entre elas, 401 nos Estados Unidos, 51 no Brasil, 43 no Canadá, 40 na Alemanha e 36 na França. |
Mais de 900 instâncias do Sangoma FreePBX permaneciam comprometidas por web shells em uma campanha que começou em dezembro de 2025 e explora a CVE-2025-64328. A falha é uma injeção de comandos pós-autenticação no módulo framework do FreePBX, com severidade alta e pontuação CVSS 8.6. O cenário observado não é apenas uma vulnerabilidade teórica: há exploração ativa, inclusão no catálogo KEV da CISA e evidência de implantação de web shell em sistemas PBX acessíveis por operadores autenticados.
O impacto técnico está concentrado no host que executa o FreePBX. Um usuário que consiga acessar o painel FreePBX Administration pode abusar da lógica vulnerável para executar comandos arbitrários no sistema operacional subjacente. O efeito descrito para a falha inclui obtenção de acesso remoto como o usuário asterisk, conta típica do serviço de telefonia. Em ambientes de comunicação corporativa, esse nível de execução permite persistência por web shell, manipulação do servidor PBX e atividade de chamadas de saída a partir do próprio ambiente comprometido.
A exploração depende de acesso ao painel administrativo do FreePBX. O ponto vulnerável aparece em uma funcionalidade relacionada ao teste de conexão SSH, acionada por uma requisição autenticada ao ambiente de administração. Nessa rotina, parâmetros fornecidos pelo usuário, incluindo host, port, user, key e path, são usados sem sanitização suficiente. O problema específico envolve a criação de um caminho de diretório derivado do valor de key; quando esse valor é tratado pela aplicação e repassado a uma chamada de criação de diretório, a falta de validação permite inserir conteúdo que altera o comando executado pelo sistema.
A condição pós-autenticação não reduz a gravidade operacional quando o painel administrativo está exposto, compartilhado entre múltiplos operadores ou acessível por credenciais reutilizadas. O atacante precisa primeiro obter uma sessão válida ou controlar uma conta que consiga interagir com a interface administrativa. A partir daí, a falha transforma uma ação administrativa de teste em execução de comandos no host. O contexto de execução informado é o usuário asterisk, o que limita a afirmação a esse escopo, mas ainda é suficiente para manter web shells e conduzir ações dentro do servidor PBX.
A campanha observada também foi relacionada ao web shell EncystPHP e à operação INJ3CTOR3. O web shell opera dentro do contexto administrativo do Elastix e do FreePBX, permitindo execução arbitrária de comandos no host comprometido e início de atividade de chamadas de saída por meio do ambiente PBX. Esse detalhe é relevante para defesa porque indica que a investigação não deve ficar restrita a arquivos web suspeitos; ela também precisa correlacionar alterações no sistema com anomalias de telefonia, comportamento de chamadas e eventos administrativos.
A superfície exposta inclui implantações do FreePBX nas versões afetadas, principalmente quando o FreePBX Administration Control Panel está acessível por redes amplas, por interfaces públicas ou por segmentos sem controle forte de origem. A vulnerabilidade foi corrigida na versão 17.0.3, enquanto versões maiores ou iguais a 17[.]0[.]2[.]36 são descritas como afetadas. Como a exploração exige autenticação, contas administrativas, operadores terceirizados, acessos de suporte e credenciais antigas devem ser tratados como parte da superfície de risco.
A contagem de infecções indica impacto distribuído globalmente, com presença relevante nos Estados Unidos e no Brasil. A existência de 51 instâncias infectadas no Brasil torna a campanha material para provedores, integradores de telefonia, equipes de infraestrutura e organizações que mantêm PBX próprio. O número de instâncias ainda infectadas também sugere que apenas aplicar a correção depois do comprometimento pode não remover artefatos persistentes, especialmente web shells deixados em diretórios acessíveis pela aplicação.
- Instâncias FreePBX em versões a partir de 17[.]0[.]2[.]36 e sem atualização para 17.0.3.
- Painéis FreePBX Administration expostos a redes não confiáveis ou acessíveis sem restrição forte de origem.
- Contas administrativas com credenciais reutilizadas, compartilhadas, antigas ou mantidas para suporte externo.
- Ambientes PBX com arquivos web alterados, chamadas de saída incomuns ou execução de processos sob o usuário
asterisk.
A investigação deve começar pela linha do tempo. Como a exploração foi observada desde o início de dezembro de 2025, equipes responsáveis por FreePBX devem revisar eventos administrativos, alterações de arquivos e atividade de chamadas a partir desse período. A presença de patch posterior não elimina a necessidade de hunting retroativo, porque um web shell implantado antes da correção pode continuar disponível se não for removido manualmente e se permissões locais permanecerem permissivas.
No endpoint, procure criação ou modificação de arquivos PHP fora do fluxo normal de atualização, especialmente em caminhos servidos pela interface web do PBX. Também é importante revisar processos iniciados pelo usuário asterisk, chamadas incomuns a utilitários de shell, criação de diretórios com nomes anômalos e execução de comandos originada por processos do servidor web ou da aplicação FreePBX. Em rede, busque conexões de administração vindas de origens incomuns, sessões autenticadas fora do horário esperado e tráfego associado a web shells, sem publicar ou transformar indicadores em links ativos.
Na camada de telefonia, a defesa deve correlacionar o período de possível comprometimento com padrões de chamadas de saída, destinos incomuns, picos fora do perfil da organização e alterações administrativas que modifiquem rotas, troncos ou permissões. A menção a atividade de chamadas de saída a partir do ambiente PBX torna essa telemetria relevante para diferenciar um servidor apenas vulnerável de uma instância possivelmente usada após a implantação do web shell.
- Arquivos PHP novos ou modificados em diretórios web do FreePBX após dezembro de 2025.
- Processos e comandos acionados por contexto web ou pelo usuário
asterisksem relação com manutenção autorizada. - Sessões administrativas no painel FreePBX vindas de endereços, horários ou contas fora do padrão esperado.
- Alterações em rotas, troncos, permissões ou volume de chamadas de saída incompatíveis com o uso normal.
- Indícios de web shell EncystPHP ou artefatos equivalentes, tratados como classe de indicador e validados contra o ambiente local.
A resposta deve combinar atualização, contenção de acesso e verificação de comprometimento. A medida central é atualizar o FreePBX para a versão corrigida ou superior, com atenção específica ao módulo framework e ao filestore quando aplicável ao ambiente. Como há exploração ativa, a atualização deve ser acompanhada de revisão de integridade do servidor; tratar o problema apenas como manutenção de versão deixa risco residual caso um web shell já tenha sido implantado.
O acesso ao FreePBX Administration Control Panel deve ser limitado a usuários autorizados e redes confiáveis. O painel não deve ficar exposto diretamente a redes hostis quando houver alternativa operacional, e o controle deve incluir filtragem de origem, autenticação forte, revisão de contas e remoção de acessos legados. Em organizações com suporte terceirizado, vale validar quais contas precisam existir, quais origens de rede podem administrar o PBX e se houve uso administrativo fora de janelas planejadas.
Após contenção, a equipe deve coletar evidências antes de remover artefatos quando houver suspeita de incidente. Preserve logs relevantes, registre hashes internos de arquivos suspeitos para análise local, revise tarefas agendadas, permissões e processos persistentes, e valide se chamadas de saída anômalas ocorreram. Quando houver indício de acesso remoto estabelecido, a troca de credenciais administrativas e a revisão de segredos associados ao PBX devem ser feitas como parte da recuperação.
- Atualizar o FreePBX para 17.0.3 ou versão posterior corrigida e validar módulos relacionados.
- Restringir o painel administrativo a redes confiáveis e usuários autorizados, removendo exposição desnecessária.
- Revisar contas administrativas, credenciais compartilhadas e acessos de suporte usados desde dezembro de 2025.
- Procurar e remover web shells somente após preservar evidências necessárias para resposta a incidente.
- Auditar chamadas de saída, rotas, troncos e alterações administrativas feitas durante a janela de possível exploração.
0 Comentários