FreePBX-servers via recente kwetsbaarheid geïnfecteerd met webshell

In dit artikel:

Aanvallers misbruiken actief een recent gepatchte fout in FreePBX (CVE-2025-64328) om VoIP-servers te compromitteren en een webshell te installeren, meldt Fortinet; ook het Amerikaanse CISA signaleert het actieve misbruik. FreePBX is de beheerlaag voor telefooncentrales die op Asterisk-VoIP-servers draaien.

De kwetsbaarheid zit in de admin-interface en maakt het een geauthenticeerde aanvaller mogelijk om willekeurige shellcommando’s op de onderliggende server uit te voeren, waardoor er onder meer remote toegang als de asterisk-gebruiker kan worden verkregen. Er zijn in november al updates uitgebracht, maar recente meldingen tonen dat aanvallers de kwetsbaarheid gebruiken om de EncystPHP-webshell te plaatsen, waarmee zij blijvende toegang en vervolgaanvallen kunnen opzetten.

CISA heeft het lek toegevoegd aan de lijst van actief aangevallen kwetsbaarheden; details over concrete hacks blijven beperkt. Ter herinnering: vorig jaar leidde een ander FreePBX-lek (CVE-2025-57819) tot het kapen van honderden telefooncentrales. Organisaties wordt dringend aangeraden updates te installeren, admin-toegang te beperken, logs en systemen te scannen op webshells en wachtwoorden/credentials te roteren.