Luca Galuppi : 28 agosto 2025 13:39
El mundo de la telefonía VoIP ha vuelto a estar en la mira de los ciberdelincuentes. En esta ocasión, se trata de FreePBX, la plataforma de código abierto basada en Asterisk y ampliamente utilizada por empresas, centros de llamadas y proveedores de servicios.
El equipo de seguridad de Sangoma FreePBX ha dado la alarma: una vulnerabilidad de día cero está afectando a los sistemas que exponen el Panel de Control del Administrador (ACP) a la red. Y esto no es una amenaza teórica: el exploit ya se ha explotado activamente durante días, con graves consecuencias para quienes no hayan tomado las contramedidas adecuadas.
Según los informes iniciales, el exploit permite a los atacantes ejecutar cualquier comando con privilegios de usuario de Asterisk. En otras palabras, control total de la centralita y la capacidad de manipular configuraciones, desviar llamadas, comprometer troncales SIP e incluso generar tráfico internacional no autorizado.
Un usuario del foro de FreePBX declaró:
“Hemos visto múltiples ataques en nuestra infraestructura, con aproximadamente 3000 extensiones SIP y 500 troncales afectados.”
Este no es un caso aislado: otros administradores, incluso en Reddit, han confirmado haber sufrido la misma suerte.
Sangoma no ha revelado los detalles técnicos de la vulnerabilidad, pero la comunidad ha compartido una serie de señales que se deben buscar en sus sistemas:
/etc/freepbx.conf
falta o está modificado./var/www/html/.clean.sh
, cargado por los atacantes, está Presente.modular.php
.ampusers
de la base de datos MariaDB/MySQL, lo que resultó en la aparición de un usuario sospechoso, ampuser
.Cualquiera que se encuentre con uno de estos IoC debe considerar que su sistema ya está comprometido.
El equipo de seguridad de Sangoma FreePBX ha publicado una corrección para EDGE para proteger las nuevas instalaciones, a la espera del parche oficial que se espera próximamente. Sin embargo, la solución no repara los sistemas ya infectados.
Comandos para instalar la solución para EDGE:
FreePBX v16/v17:
fwconsole but downloadinstall endpoint --edge
PBXAct v16:
fwconsole ma downloadinstall endpoint --tag 16.0.88.19
PBXAct v17:
fwconsole ma downloadinstall endpoint --tag 17.0.2.31
Sin embargo, existe un problema importante: quienes tengan un contrato de soporte vencido corren el riesgo de no poder Descargar la actualización, dejando así su PBX expuesta y sin defensas.
Los administradores que no puedan aplicar la solución deben bloquear inmediatamente el acceso al ACP desde internet, limitándolo únicamente a hosts de confianza. En caso de una vulnerabilidad, las instrucciones de Sangoma son claras:
Exponer los paneles de administración a internet es un riesgo crítico que nunca debe considerarse. Subestimado. El caso de FreePBX demuestra cómo una vulnerabilidad de día cero, combinada con una configuración descuidada, puede convertirse rápidamente en un ataque a gran escala.
Es fundamental adoptar un enfoque proactivo: restringir el acceso a los ACP solo desde hosts de confianza, monitorizar constantemente los indicadores de ataque y mantener los módulos y componentes actualizados. Solo así podremos reducir el impacto de amenazas que, como en este caso, pueden atacar sin previo aviso y tener consecuencias significativas para la continuidad del negocio y la seguridad de las comunicaciones corporativas.
Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...