FreePBX sotto attacco: exploit zero-day già in uso, rilasciata una patch di emergenza

Luca Galuppi : 28 Agosto 2025 13:38

Il mondo della telefonia VoIP è finito ancora una volta nel mirino dei criminali informatici. Questa volta tocca a FreePBX, la piattaforma open-source costruita su Asterisk e diffusissima in aziende, call center e provider di servizi.

La Sangoma FreePBX Security Team ha lanciato l’allarme: una vulnerabilità zero-day sta colpendo i sistemi che espongono in rete l’Administrator Control Panel (ACP). E non si tratta di una minaccia teorica: da giorni l’exploit è già attivamente sfruttato, con conseguenze pesanti per chi non ha preso adeguate contromisure.

L’attacco: comandi arbitrari e compromissioni di massa

Secondo le prime segnalazioni, l’exploit permette agli aggressori di eseguire qualsiasi comando con i privilegi dell’utente Asterisk. In altre parole, controllo totale del PBX e possibilità di manipolare configurazioni, deviare chiamate, compromettere trunk SIP e persino generare traffico internazionale non autorizzato.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber "Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.  Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.  Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.  Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un utente del forum FreePBX ha dichiarato:

“Abbiamo riscontrato compromissioni multiple all’interno della nostra infrastruttura, con circa 3.000 estensioni SIP e 500 trunk impattati.”

Non si tratta di un caso isolato: altri amministratori, persino su Reddit, hanno confermato di aver subito la stessa sorte.

Indicatori di compromissione (IoC) da monitorare

Sangoma non ha divulgato i dettagli tecnici della vulnerabilità, ma la community ha condiviso una serie di segnali da cercare nei propri sistemi:

• File /etc/freepbx.conf mancante o modificato.
• Presenza dello script /var/www/html/.clean.sh, caricato dagli attaccanti.
• Log Apache sospetti legati a modular.php.
• Chiamate insolite verso l’estensione 9998 nei log di Asterisk (a partire dal 21 agosto).
• Voci non autorizzate nella tabella ampusers del database MariaDB/MySQL, con la comparsa di un utente sospetto ampuser.

Chi riscontra anche uno solo di questi IoC deve considerare il proprio sistema già compromesso.

Patch di emergenza (ma non per tutti…)

La Sangoma FreePBX Security Team ha rilasciato un fix EDGE per proteggere le nuove installazioni, in attesa della patch ufficiale prevista a stretto giro. Tuttavia, la correzione non risolve i sistemi già infetti.

Comandi per installare l’EDGE fix:

FreePBX v16/v17:

fwconsole ma downloadinstall endpoint --edge

PBXAct v16:

fwconsole ma downloadinstall endpoint --tag 16.0.88.19

PBXAct v17:

fwconsole ma downloadinstall endpoint --tag 17.0.2.31

C’è però un problema non da poco: chi ha un contratto di supporto scaduto rischia di non poter scaricare l’aggiornamento, restando così con il PBX esposto e senza difese.

Cosa fare subito

Gli amministratori che non riescono ad applicare il fix devono bloccare immediatamente l’accesso all’ACP da internet, limitandolo solo a host fidati.
In caso di compromissione, le indicazioni di Sangoma sono chiare:

• Ripristinare i sistemi da backup antecedenti al 21 agosto.
• Reinstallare i moduli aggiornati su ambienti puliti.
• Cambiare tutte le credenziali di sistema e SIP.
• Analizzare call detail records e fatturazione per traffico sospetto, soprattutto internazionale.

Conclusione

Esporre pannelli di amministrazione su internet rappresenta un rischio critico che non dovrebbe mai essere sottovalutato. La vicenda FreePBX dimostra come una vulnerabilità zero-day, combinata con configurazioni poco accorte, possa rapidamente trasformarsi in una compromissione su larga scala.

È fondamentale adottare un approccio proattivo: limitare l’accesso agli ACP esclusivamente da host fidati, monitorare costantemente gli indicatori di compromissione e mantenere aggiornati moduli e componenti. Solo così è possibile ridurre l’impatto di minacce che, come in questo caso, possono colpire senza preavviso e con conseguenze rilevanti per la continuità operativa e la sicurezza delle comunicazioni aziendali.

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Lista degli articoli
Visita il sito web dell'autore