Red Hot Cyber, The cybersecurity news
Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Select language
English Italian
Buscar
LECS 320x100 1
Fortinet 970x120px
FreePBX bajo ataque: ya se utiliza un exploit de día cero y se ha publicado un parche de emergencia

FreePBX bajo ataque: ya se utiliza un exploit de día cero y se ha publicado un parche de emergencia

Luca Galuppi : 28 agosto 2025 13:39

El mundo de la telefonía VoIP ha vuelto a estar en la mira de los ciberdelincuentes. En esta ocasión, se trata de FreePBX, la plataforma de código abierto basada en Asterisk y ampliamente utilizada por empresas, centros de llamadas y proveedores de servicios.

El equipo de seguridad de Sangoma FreePBX ha dado la alarma: una vulnerabilidad de día cero está afectando a los sistemas que exponen el Panel de Control del Administrador (ACP) a la red. Y esto no es una amenaza teórica: el exploit ya se ha explotado activamente durante días, con graves consecuencias para quienes no hayan tomado las contramedidas adecuadas.

El ataque: comandos arbitrarios y ataques masivos

Según los informes iniciales, el exploit permite a los atacantes ejecutar cualquier comando con privilegios de usuario de Asterisk. En otras palabras, control total de la centralita y la capacidad de manipular configuraciones, desviar llamadas, comprometer troncales SIP e incluso generar tráfico internacional no autorizado.

Un usuario del foro de FreePBX declaró:

“Hemos visto múltiples ataques en nuestra infraestructura, con aproximadamente 3000 extensiones SIP y 500 troncales afectados.”

Este no es un caso aislado: otros administradores, incluso en Reddit, han confirmado haber sufrido la misma suerte.

Indicadores de Compromiso (IoC) a monitorear

Sangoma no ha revelado los detalles técnicos de la vulnerabilidad, pero la comunidad ha compartido una serie de señales que se deben buscar en sus sistemas:

  • El archivo /etc/freepbx.conf falta o está modificado.
  • El script /var/www/html/.clean.sh, cargado por los atacantes, está Presente.
  • Registros sospechosos de Apache relacionados con modular.php.
  • Llamadas inusuales a la extensión 9998 en los registros de Asterisk (a partir del 21 de agosto).
  • Entradas no autorizadas en la tabla ampusers de la base de datos MariaDB/MySQL, lo que resultó en la aparición de un usuario sospechoso, ampuser.

Cualquiera que se encuentre con uno de estos IoC debe considerar que su sistema ya está comprometido.

Parche de emergencia (pero no para todos…)

El equipo de seguridad de Sangoma FreePBX ha publicado una corrección para EDGE para proteger las nuevas instalaciones, a la espera del parche oficial que se espera próximamente. Sin embargo, la solución no repara los sistemas ya infectados.

Comandos para instalar la solución para EDGE:

FreePBX v16/v17:

fwconsole but downloadinstall endpoint --edge

PBXAct v16:

fwconsole ma downloadinstall endpoint --tag 16.0.88.19

PBXAct v17:

fwconsole ma downloadinstall endpoint --tag 17.0.2.31

Sin embargo, existe un problema importante: quienes tengan un contrato de soporte vencido corren el riesgo de no poder Descargar la actualización, dejando así su PBX expuesta y sin defensas.

Qué hacer de inmediato

Los administradores que no puedan aplicar la solución deben bloquear inmediatamente el acceso al ACP desde internet, limitándolo únicamente a hosts de confianza. En caso de una vulnerabilidad, las instrucciones de Sangoma son claras:

  • Restaurar los sistemas a partir de copias de seguridad anteriores al 21 de agosto.
  • Reinstalar los módulos actualizados en entornos limpios.
  • Cambiar todas las credenciales del sistema y SIP.
  • Analizar los registros de detalles de llamadas y la facturación para detectar tráfico sospechoso, especialmente tráfico internacional.

Conclusión

Exponer los paneles de administración a internet es un riesgo crítico que nunca debe considerarse. Subestimado. El caso de FreePBX demuestra cómo una vulnerabilidad de día cero, combinada con una configuración descuidada, puede convertirse rápidamente en un ataque a gran escala.

Es fundamental adoptar un enfoque proactivo: restringir el acceso a los ACP solo desde hosts de confianza, monitorizar constantemente los indicadores de ataque y mantener los módulos y componentes actualizados. Solo así podremos reducir el impacto de amenazas que, como en este caso, pueden atacar sin previo aviso y tener consecuencias significativas para la continuidad del negocio y la seguridad de las comunicaciones corporativas.

Artículos destacados

Immagine del sito
¡Sin carne ni huesos, solo código! Llega el primer presentador de IA de Channel 4.
Di Redazione RHC - 24/10/2025

El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...

Immagine del sito
Rusia y el cibercrimen: un equilibrio entre la represión selectiva y el interés estatal
Di Ada Spinelli - 24/10/2025

El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...

Immagine del sito
Hackean la web de la FIA: datos personales de Max Verstappen y más de 7.000 pilotos expuestos
Di Redazione RHC - 24/10/2025

Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...

Immagine del sito
Inteligencia Artificial General (AGI): se ha definido el primer estándar global para medirla
Di Redazione RHC - 23/10/2025

El 21 de octubre de 2025, un equipo internacional de investigadores de 29 instituciones líderes, incluidas la Universidad de Stanford, el MIT y la Universidad de California en Berkeley, completó un ...

Immagine del sito
¡ChatGPT me da dinero! Atlas, el navegador inteligente para macOS, ya está aquí.
Di Redazione RHC - 22/10/2025

OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...