Περισσότερες από 900 εγκαταστάσεις Sangoma FreePBX παραμένουν μολυσμένες με κακόβουλα λογισμικά τύπου web shell, σύμφωνα με στοιχεία του ιδρύματος Shadowserver.
Η παγκόσμια αυτή επίθεση, η οποία βρίσκεται σε πλήρη εξέλιξη, εκμεταλλεύεται μια σοβαρή ευπάθεια έγχυσης εντολών που εντοπίστηκε τον Δεκέμβριο του 2025. Οι Ηνωμένες Πολιτείες βρίσκονται στην κορυφή της λίστας με 401 μολυσμένα συστήματα, ενώ ακολουθούν χώρες όπως η Βραζιλία, ο Καναδάς, η Γερμανία και η Γαλλία.
Η ευπάθεια CVE-2025-64328 και ο κίνδυνος για τους διακομιστές
Οι επιθέσεις φαίνεται να βασίζονται στην εκμετάλλευση της ευπάθειας CVE-2025-64328, η οποία βαθμολογείται με 8.6 στην κλίμακα επικινδυνότητας. Το συγκεκριμένο κενό ασφαλείας επιτρέπει σε χρήστες που έχουν ήδη πρόσβαση στον πίνακα διαχείρισης του FreePBX να εκτελούν αυθαίρετες εντολές στο λειτουργικό σύστημα του διακομιστή. Αυτό δίνει τη δυνατότητα σε έναν εισβολέα να αποκτήσει πλήρη απομακρυσμένο έλεγχο του συστήματος με τα δικαιώματα του χρήστη asterisk.
Εκδόσεις που επηρεάζονται και απαραίτητες διορθώσεις
Το πρόβλημα εντοπίζεται στις εκδόσεις του FreePBX από την 17.0.2.36 και μεταγενέστερες, ενώ έχει ήδη αντιμετωπιστεί στην έκδοση 17.0.3. Η σοβαρότητα της κατάστασης οδήγησε την αμερικανική υπηρεσία CISA να συμπεριλάβει την ευπάθεια στον κατάλογο των γνωστών εκμεταλλευόμενων τρωτών σημείων (KEV). Οι ειδικοί προτείνουν τα εξής μέτρα:
- Άμεση αναβάθμιση του FreePBX στην πιο πρόσφατη έκδοση.
- Αυστηρό περιορισμό της πρόσβασης στον πίνακα διαχείρισης (ACP) μόνο σε εξουσιοδοτημένους χρήστες.
- Αποκλεισμό της πρόσβασης στο ACP από δημόσια ή μη αξιόπιστα δίκτυα.
- Ενημέρωση της μονάδας filestore στην τελευταία διαθέσιμη έκδοση.
Η δράση της ομάδας INJ3CTOR3 και το EncystPHP
Έρευνες της Fortinet έδειξαν ότι πίσω από αυτές τις επιθέσεις βρίσκεται η ομάδα κυβερνοεγκλήματος INJ3CTOR3. Οι επιτιθέμενοι χρησιμοποιούν ένα εξειδικευμένο web shell με το όνομα EncystPHP, το οποίο τους επιτρέπει να διατηρούν μόνιμη πρόσβαση στο μολυσμένο σύστημα.
Μέσω αυτού, μπορούν όχι μόνο να κλέβουν δεδομένα αλλά και να πραγματοποιούν παράνομες εξερχόμενες τηλεφωνικές κλήσεις, εκμεταλλευόμενοι το περιβάλλον του τηλεφωνικού κέντρου (PBX) για οικονομική απάτη.