Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

FreePBX bajo ataque: ya se utiliza un exploit de día cero y se ha publicado un parche de emergencia

Luca Galuppi : 28 agosto 2025 13:39

El mundo de la telefonía VoIP ha vuelto a estar en la mira de los ciberdelincuentes. En esta ocasión, se trata de FreePBX, la plataforma de código abierto basada en Asterisk y ampliamente utilizada por empresas, centros de llamadas y proveedores de servicios.

El equipo de seguridad de Sangoma FreePBX ha dado la alarma: una vulnerabilidad de día cero está afectando a los sistemas que exponen el Panel de Control del Administrador (ACP) a la red. Y esto no es una amenaza teórica: el exploit ya se ha explotado activamente durante días, con graves consecuencias para quienes no hayan tomado las contramedidas adecuadas.

El ataque: comandos arbitrarios y ataques masivos

Según los informes iniciales, el exploit permite a los atacantes ejecutar cualquier comando con privilegios de usuario de Asterisk. En otras palabras, control total de la centralita y la capacidad de manipular configuraciones, desviar llamadas, comprometer troncales SIP e incluso generar tráfico internacional no autorizado.

Un usuario del foro de FreePBX declaró:

“Hemos visto múltiples ataques en nuestra infraestructura, con aproximadamente 3000 extensiones SIP y 500 troncales afectados.”

Este no es un caso aislado: otros administradores, incluso en Reddit, han confirmado haber sufrido la misma suerte.

Indicadores de Compromiso (IoC) a monitorear

Sangoma no ha revelado los detalles técnicos de la vulnerabilidad, pero la comunidad ha compartido una serie de señales que se deben buscar en sus sistemas:

  • El archivo /etc/freepbx.conf falta o está modificado.
  • El script /var/www/html/.clean.sh, cargado por los atacantes, está Presente.
  • Registros sospechosos de Apache relacionados con modular.php.
  • Llamadas inusuales a la extensión 9998 en los registros de Asterisk (a partir del 21 de agosto).
  • Entradas no autorizadas en la tabla ampusers de la base de datos MariaDB/MySQL, lo que resultó en la aparición de un usuario sospechoso, ampuser.

Cualquiera que se encuentre con uno de estos IoC debe considerar que su sistema ya está comprometido.

Parche de emergencia (pero no para todos…)

El equipo de seguridad de Sangoma FreePBX ha publicado una corrección para EDGE para proteger las nuevas instalaciones, a la espera del parche oficial que se espera próximamente. Sin embargo, la solución no repara los sistemas ya infectados.

Comandos para instalar la solución para EDGE:

FreePBX v16/v17:

fwconsole but downloadinstall endpoint --edge

PBXAct v16:

fwconsole ma downloadinstall endpoint --tag 16.0.88.19

PBXAct v17:

fwconsole ma downloadinstall endpoint --tag 17.0.2.31

Sin embargo, existe un problema importante: quienes tengan un contrato de soporte vencido corren el riesgo de no poder Descargar la actualización, dejando así su PBX expuesta y sin defensas.

Qué hacer de inmediato

Los administradores que no puedan aplicar la solución deben bloquear inmediatamente el acceso al ACP desde internet, limitándolo únicamente a hosts de confianza. En caso de una vulnerabilidad, las instrucciones de Sangoma son claras:

  • Restaurar los sistemas a partir de copias de seguridad anteriores al 21 de agosto.
  • Reinstalar los módulos actualizados en entornos limpios.
  • Cambiar todas las credenciales del sistema y SIP.
  • Analizar los registros de detalles de llamadas y la facturación para detectar tráfico sospechoso, especialmente tráfico internacional.

Conclusión

Exponer los paneles de administración a internet es un riesgo crítico que nunca debe considerarse. Subestimado. El caso de FreePBX demuestra cómo una vulnerabilidad de día cero, combinada con una configuración descuidada, puede convertirse rápidamente en un ataque a gran escala.

Es fundamental adoptar un enfoque proactivo: restringir el acceso a los ACP solo desde hosts de confianza, monitorizar constantemente los indicadores de ataque y mantener los módulos y componentes actualizados. Solo así podremos reducir el impacto de amenazas que, como en este caso, pueden atacar sin previo aviso y tener consecuencias significativas para la continuidad del negocio y la seguridad de las comunicaciones corporativas.

Artículos destacados

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...

Descubriendo la inyección rápida: cuando la IA se deja engañar por las palabras
Di Manuel Roccon - 02/10/2025

Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...