Red Hot Cyber, The cybersecurity news

Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Select language
English Italian
Buscar
Red Hot Cyber Academy

FreePBX bajo ataque: ya se utiliza un exploit de día cero y se ha publicado un parche de emergencia

Luca Galuppi : 28 agosto 2025 13:39

El mundo de la telefonía VoIP ha vuelto a estar en la mira de los ciberdelincuentes. En esta ocasión, se trata de FreePBX, la plataforma de código abierto basada en Asterisk y ampliamente utilizada por empresas, centros de llamadas y proveedores de servicios.

El equipo de seguridad de Sangoma FreePBX ha dado la alarma: una vulnerabilidad de día cero está afectando a los sistemas que exponen el Panel de Control del Administrador (ACP) a la red. Y esto no es una amenaza teórica: el exploit ya se ha explotado activamente durante días, con graves consecuencias para quienes no hayan tomado las contramedidas adecuadas.

El ataque: comandos arbitrarios y ataques masivos

Según los informes iniciales, el exploit permite a los atacantes ejecutar cualquier comando con privilegios de usuario de Asterisk. En otras palabras, control total de la centralita y la capacidad de manipular configuraciones, desviar llamadas, comprometer troncales SIP e incluso generar tráfico internacional no autorizado.

Un usuario del foro de FreePBX declaró:

“Hemos visto múltiples ataques en nuestra infraestructura, con aproximadamente 3000 extensiones SIP y 500 troncales afectados.”

Este no es un caso aislado: otros administradores, incluso en Reddit, han confirmado haber sufrido la misma suerte.

Indicadores de Compromiso (IoC) a monitorear

Sangoma no ha revelado los detalles técnicos de la vulnerabilidad, pero la comunidad ha compartido una serie de señales que se deben buscar en sus sistemas:

  • El archivo /etc/freepbx.conf falta o está modificado.
  • El script /var/www/html/.clean.sh, cargado por los atacantes, está Presente.
  • Registros sospechosos de Apache relacionados con modular.php.
  • Llamadas inusuales a la extensión 9998 en los registros de Asterisk (a partir del 21 de agosto).
  • Entradas no autorizadas en la tabla ampusers de la base de datos MariaDB/MySQL, lo que resultó en la aparición de un usuario sospechoso, ampuser.

Cualquiera que se encuentre con uno de estos IoC debe considerar que su sistema ya está comprometido.

Parche de emergencia (pero no para todos…)

El equipo de seguridad de Sangoma FreePBX ha publicado una corrección para EDGE para proteger las nuevas instalaciones, a la espera del parche oficial que se espera próximamente. Sin embargo, la solución no repara los sistemas ya infectados.

Comandos para instalar la solución para EDGE:

FreePBX v16/v17:

fwconsole but downloadinstall endpoint --edge

PBXAct v16:

fwconsole ma downloadinstall endpoint --tag 16.0.88.19

PBXAct v17:

fwconsole ma downloadinstall endpoint --tag 17.0.2.31

Sin embargo, existe un problema importante: quienes tengan un contrato de soporte vencido corren el riesgo de no poder Descargar la actualización, dejando así su PBX expuesta y sin defensas.

Qué hacer de inmediato

Los administradores que no puedan aplicar la solución deben bloquear inmediatamente el acceso al ACP desde internet, limitándolo únicamente a hosts de confianza. En caso de una vulnerabilidad, las instrucciones de Sangoma son claras:

  • Restaurar los sistemas a partir de copias de seguridad anteriores al 21 de agosto.
  • Reinstalar los módulos actualizados en entornos limpios.
  • Cambiar todas las credenciales del sistema y SIP.
  • Analizar los registros de detalles de llamadas y la facturación para detectar tráfico sospechoso, especialmente tráfico internacional.

Conclusión

Exponer los paneles de administración a internet es un riesgo crítico que nunca debe considerarse. Subestimado. El caso de FreePBX demuestra cómo una vulnerabilidad de día cero, combinada con una configuración descuidada, puede convertirse rápidamente en un ataque a gran escala.

Es fundamental adoptar un enfoque proactivo: restringir el acceso a los ACP solo desde hosts de confianza, monitorizar constantemente los indicadores de ataque y mantener los módulos y componentes actualizados. Solo así podremos reducir el impacto de amenazas que, como en este caso, pueden atacar sin previo aviso y tener consecuencias significativas para la continuidad del negocio y la seguridad de las comunicaciones corporativas.

Artículos destacados

¡Que comience la caza! Hackers aprovechan una falla de Citrix para infiltrarse en sistemas globales.
Di Redazione RHC - 30/08/2025

Se ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...

Un exploit de WhatsApp sin necesidad de hacer clic permitía la vigilancia remota. Meta advierte a las víctimas
Di Redazione RHC - 30/08/2025

Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...

Vulnerabilidades críticas en NetScaler ADC y Gateway. ¡Actualízate ahora! ¡Los ataques continúan!
Di Redazione RHC - 28/08/2025

NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...

Microsoft Teams se bloquea: los documentos de Office integrados no se pueden abrir
Di Luca Galuppi - 28/08/2025

Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...

¡Llega la Novia Robot! La nueva frontera de la tecnología china.
Di Redazione RHC - 15/08/2025

Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...