Luca Galuppi : 28 agosto 2025 13:39
El mundo de la telefonía VoIP ha vuelto a estar en la mira de los ciberdelincuentes. En esta ocasión, se trata de FreePBX, la plataforma de código abierto basada en Asterisk y ampliamente utilizada por empresas, centros de llamadas y proveedores de servicios.
El equipo de seguridad de Sangoma FreePBX ha dado la alarma: una vulnerabilidad de día cero está afectando a los sistemas que exponen el Panel de Control del Administrador (ACP) a la red. Y esto no es una amenaza teórica: el exploit ya se ha explotado activamente durante días, con graves consecuencias para quienes no hayan tomado las contramedidas adecuadas.
Según los informes iniciales, el exploit permite a los atacantes ejecutar cualquier comando con privilegios de usuario de Asterisk. En otras palabras, control total de la centralita y la capacidad de manipular configuraciones, desviar llamadas, comprometer troncales SIP e incluso generar tráfico internacional no autorizado.
Un usuario del foro de FreePBX declaró:
“Hemos visto múltiples ataques en nuestra infraestructura, con aproximadamente 3000 extensiones SIP y 500 troncales afectados.”
Este no es un caso aislado: otros administradores, incluso en Reddit, han confirmado haber sufrido la misma suerte.
Sangoma no ha revelado los detalles técnicos de la vulnerabilidad, pero la comunidad ha compartido una serie de señales que se deben buscar en sus sistemas:
/etc/freepbx.conf falta o está modificado./var/www/html/.clean.sh, cargado por los atacantes, está Presente.modular.php.ampusers de la base de datos MariaDB/MySQL, lo que resultó en la aparición de un usuario sospechoso, ampuser.Cualquiera que se encuentre con uno de estos IoC debe considerar que su sistema ya está comprometido.
El equipo de seguridad de Sangoma FreePBX ha publicado una corrección para EDGE para proteger las nuevas instalaciones, a la espera del parche oficial que se espera próximamente. Sin embargo, la solución no repara los sistemas ya infectados.
Comandos para instalar la solución para EDGE:
FreePBX v16/v17:
fwconsole but downloadinstall endpoint --edge
PBXAct v16:
fwconsole ma downloadinstall endpoint --tag 16.0.88.19
PBXAct v17:
fwconsole ma downloadinstall endpoint --tag 17.0.2.31
Sin embargo, existe un problema importante: quienes tengan un contrato de soporte vencido corren el riesgo de no poder Descargar la actualización, dejando así su PBX expuesta y sin defensas.
Los administradores que no puedan aplicar la solución deben bloquear inmediatamente el acceso al ACP desde internet, limitándolo únicamente a hosts de confianza. En caso de una vulnerabilidad, las instrucciones de Sangoma son claras:
Exponer los paneles de administración a internet es un riesgo crítico que nunca debe considerarse. Subestimado. El caso de FreePBX demuestra cómo una vulnerabilidad de día cero, combinada con una configuración descuidada, puede convertirse rápidamente en un ataque a gran escala.
Es fundamental adoptar un enfoque proactivo: restringir el acceso a los ACP solo desde hosts de confianza, monitorizar constantemente los indicadores de ataque y mantener los módulos y componentes actualizados. Solo así podremos reducir el impacto de amenazas que, como en este caso, pueden atacar sin previo aviso y tener consecuencias significativas para la continuidad del negocio y la seguridad de las comunicaciones corporativas.
Los atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
