Luca Galuppi : 28 Agosto 2025 13:38
Il mondo della telefonia VoIP è finito ancora una volta nel mirino dei criminali informatici. Questa volta tocca a FreePBX, la piattaforma open-source costruita su Asterisk e diffusissima in aziende, call center e provider di servizi.
La Sangoma FreePBX Security Team ha lanciato l’allarme: una vulnerabilità zero-day sta colpendo i sistemi che espongono in rete l’Administrator Control Panel (ACP). E non si tratta di una minaccia teorica: da giorni l’exploit è già attivamente sfruttato, con conseguenze pesanti per chi non ha preso adeguate contromisure.
Secondo le prime segnalazioni, l’exploit permette agli aggressori di eseguire qualsiasi comando con i privilegi dell’utente Asterisk. In altre parole, controllo totale del PBX e possibilità di manipolare configurazioni, deviare chiamate, compromettere trunk SIP e persino generare traffico internazionale non autorizzato.
![]() Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un utente del forum FreePBX ha dichiarato:
“Abbiamo riscontrato compromissioni multiple all’interno della nostra infrastruttura, con circa 3.000 estensioni SIP e 500 trunk impattati.”
Non si tratta di un caso isolato: altri amministratori, persino su Reddit, hanno confermato di aver subito la stessa sorte.
Sangoma non ha divulgato i dettagli tecnici della vulnerabilità, ma la community ha condiviso una serie di segnali da cercare nei propri sistemi:
/etc/freepbx.conf
mancante o modificato./var/www/html/.clean.sh
, caricato dagli attaccanti.modular.php
.ampusers
del database MariaDB/MySQL, con la comparsa di un utente sospetto ampuser
.Chi riscontra anche uno solo di questi IoC deve considerare il proprio sistema già compromesso.
La Sangoma FreePBX Security Team ha rilasciato un fix EDGE per proteggere le nuove installazioni, in attesa della patch ufficiale prevista a stretto giro. Tuttavia, la correzione non risolve i sistemi già infetti.
Comandi per installare l’EDGE fix:
FreePBX v16/v17:
fwconsole ma downloadinstall endpoint --edge
PBXAct v16:
fwconsole ma downloadinstall endpoint --tag 16.0.88.19
PBXAct v17:
fwconsole ma downloadinstall endpoint --tag 17.0.2.31
C’è però un problema non da poco: chi ha un contratto di supporto scaduto rischia di non poter scaricare l’aggiornamento, restando così con il PBX esposto e senza difese.
Gli amministratori che non riescono ad applicare il fix devono bloccare immediatamente l’accesso all’ACP da internet, limitandolo solo a host fidati.
In caso di compromissione, le indicazioni di Sangoma sono chiare:
Esporre pannelli di amministrazione su internet rappresenta un rischio critico che non dovrebbe mai essere sottovalutato. La vicenda FreePBX dimostra come una vulnerabilità zero-day, combinata con configurazioni poco accorte, possa rapidamente trasformarsi in una compromissione su larga scala.
È fondamentale adottare un approccio proattivo: limitare l’accesso agli ACP esclusivamente da host fidati, monitorare costantemente gli indicatori di compromissione e mantenere aggiornati moduli e componenti. Solo così è possibile ridurre l’impatto di minacce che, come in questo caso, possono colpire senza preavviso e con conseguenze rilevanti per la continuità operativa e la sicurezza delle comunicazioni aziendali.
Tre importanti gruppi di ransomware – DragonForce, Qilin e LockBit – hanno annunciato un’alleanza. Si tratta essenzialmente di un tentativo di coordinare le attività di diversi importanti opera...
Sarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...