Investigadores han descubierto una vulnerabilidad de día cero en Sangoma FreePBX, identificada como CVE-2025-57819. Esta falla permite a atacantes remotos no autenticados tomar el control de los sistemas PBX afectados, lo que podría provocar ejecución remota de código (RCE), manipulación arbitraria de bases de datos y la vulneración total del sistema.
¿Cuál es la amenaza?
CVE-2025-57819 se debe a una entrada del usuario insuficientemente depurada y permite a atacantes no autenticados eludir la autenticación en la interfaz de administrador de FreePBX, lo que permite la manipulación arbitraria de bases de datos y la ejecución de comandos remotos (RCE) con privilegios administrativos. Se ha observado una explotación activa desde al menos finales de agosto de 2025, con atacantes capaces de comprometer completamente los sistemas PBX afectados y ejecutar comandos maliciosos. Una explotación exitosa puede provocar la toma completa del sistema, la interrupción de los servicios de telefonía y un posible compromiso adicional de la infraestructura conectada.
¿Por qué es digno de mención?
Esta amenaza es especialmente preocupante porque afecta a Sangoma FreePBX, una plataforma de código abierto ampliamente utilizada para la gestión de comunicaciones de voz críticas para la empresa. La vulnerabilidad se ha explotado activamente. Dado el papel fundamental de los servidores PBX en entornos empresariales, este tipo de vulnerabilidad puede provocar graves interrupciones operativas y la exposición de datos.
¿Cuál es la exposición o riesgo?
Esta vulnerabilidad es significativa debido a la amplia implementación de Sangoma FreePBX en entornos empresariales. La falla afecta a los siguientes entornos:
- FreePBX 15 anterior a 15.0.66
- FreePBX 16 anterior a 16.0.89
- FreePBX 17 anterior a 17.0.3
Se insta encarecidamente a las organizaciones a aplicar los parches más recientes.
Soluciones de Respaldo
¿Cuáles son las recomendaciones?
Se recomienda realizar los siguientes pasos para mitigar los riesgos asociados con las vulnerabilidades recientes de SAP NetWeaver y fortalece la resiliencia general del sistema:
- Actualice a las últimas versiones compatibles de FreePBX
- Restrinja el acceso público al panel de control del administrador de FreePBX únicamente a redes confiables.
- Busque indicadores de compromiso, incluidos:
- archivos inesperados /etc/freepbx.conf (deberían existir),
- archivo inesperado /var/www/html/.clean.sh (no debería existir),
- registros web que muestran solicitudes POST a modular.php
- Registros/CDR de Asterisk que muestran llamadas a la extensión 9998
- Entradas desconocidas o sospechosas en la tabla de base de datos de usuarios del amplificador.
- Supervise los registros del sistema y del servidor web para detectar actividades sospechosas, incluidos cambios inesperados en la base de datos o intentos de inicio de sesión no autorizados.
- Cree un plan de respuesta a incidentes relacionados con FreePBX, que incluya procedimientos para aislar servidores comprometidos, recopilar evidencia forense, validar la integridad del sistema y restaurar copias de seguridad limpias.
- Capacitar al personal operativo y de seguridad sobre los métodos de detección, procedimientos de parcheo y acciones de respuesta a emergencias específicas para esta vulnerabilidad.
- Sitio web: www.pccommayorista.com
- Registro de canales: https://www.pccommayorista.com/Socio-censornet-suite.aspx
- Teléfono: +52 (55) 5599.0670
- Correo de contacto: contacto@pccommayorista.com
JR
