Vulnerabilidad de día cero en FreePBX: ataques activos y medidas urgentes de seguridad

El equipo de seguridad de Sangoma FreePBX ha emitido una alerta crítica sobre una vulnerabilidad de día cero actualmente explotada de forma activa, que afecta a las instalaciones con el Panel de Control del Administrador (ACP) expuesto directamente a Internet. Este incidente ha generado gran preocupación entre empresas, proveedores de servicios y centros de llamadas que dependen de FreePBX, una de las plataformas de telefonía de código abierto más populares en el mundo.

¿Qué es FreePBX y por qué es tan utilizado?

FreePBX es un sistema PBX (Private Branch Exchange) de código abierto basado en Asterisk, ampliamente usado para administrar comunicaciones de voz en empresas de distintos tamaños. Su flexibilidad lo convierte en la elección predilecta de centros de llamadas, proveedores de telecomunicaciones y empresas de TI, ya que permite gestionar extensiones, troncales SIP, enrutamiento de llamadas y múltiples funciones avanzadas de telefonía IP.

Precisamente por su popularidad y exposición en entornos críticos, FreePBX es un objetivo atractivo para los ciberdelincuentes.

Alerta de seguridad: vulnerabilidad de día cero explotada

El aviso oficial fue publicado en los foros de FreePBX el pasado 21 de agosto, indicando que atacantes ya estaban aprovechando una vulnerabilidad de día cero en los sistemas cuyo ACP estaba expuesto a Internet.

“El equipo de seguridad de Sangoma FreePBX está al tanto de un posible exploit que afecta a algunos sistemas con el panel de control del administrador expuesto a la Internet pública, y estamos trabajando en una solución, con una implementación esperada dentro de las próximas 36 horas”, informó Sangoma en su comunicado.

La recomendación inicial fue restringir inmediatamente el acceso al ACP mediante el módulo de Firewall de FreePBX, limitando el acceso únicamente a hosts confiables.

Parches y actualizaciones de emergencia

El equipo de Sangoma lanzó rápidamente una versión EDGE del módulo endpoint como medida de mitigación temporal, mientras preparaban una actualización de seguridad estable. Sin embargo, esta solución no protege sistemas que ya hayan sido comprometidos antes de su instalación.

Los comandos recomendados fueron:

• FreePBX v16 o v17:

• PBXAct v16:

• PBXAct v17:

Un problema adicional surgió cuando algunos usuarios reportaron que, con contratos de soporte vencidos, no podían instalar la actualización EDGE, dejando sus servidores vulnerables. En estos casos, la única opción fue bloquear todo acceso al ACP hasta la publicación del parche oficial.

Compromisos confirmados y testimonios de usuarios

Tras la alerta de Sangoma, múltiples clientes reportaron violaciones exitosas en sus sistemas.

Un administrador compartió en los foros:

“Varios servidores en nuestra infraestructura fueron comprometidos, afectando aproximadamente 3,000 extensiones SIP y 500 troncales”.

Otro usuario en Reddit agregó:

“Mi PBX personal y otro que administro se vieron afectados. El exploit permite al atacante ejecutar cualquier comando que el usuario de Asterisk pueda ejecutar”.

Estos reportes confirman que la explotación del fallo no es teórica, sino una amenaza activa y en curso.

Indicadores de compromiso (IoC)

Aunque Sangoma no ha revelado detalles técnicos del exploit por razones de seguridad, compartieron varios IOC (Indicators of Compromise) que los administradores deben revisar para determinar si sus sistemas han sido afectados:

• Archivo de configuración

  1	/etc/freepbx.conf

  ausente o modificado.

• Presencia del archivo sospechoso

  1	/var/www/html/.clean.sh

  .

• Entradas de registro inusuales en Apache, relacionadas con

  1	modular.php

  .

• Llamadas inesperadas a la extensión 9998 en registros de Asterisk desde el 21 de agosto.

• Entradas no autorizadas en la tabla ampusers de MariaDB/MySQL, en particular con el nombre de usuario sospechoso “ampuser”.

Medidas de recuperación recomendadas

Si un servidor FreePBX se encuentra comprometido, Sangoma recomienda:

1. Restaurar desde una copia de seguridad previa al 21 de agosto.

2. Aplicar los módulos parcheados en instalaciones nuevas.

3. Rotar todas las credenciales relacionadas con el sistema y cuentas SIP.

4. Revisar registros de llamadas y facturas telefónicas, en busca de tráfico internacional no autorizado o uso fraudulento.

5. Aislar o reemplazar sistemas expuestos públicamente hasta que se apliquen actualizaciones oficiales.

Riesgo empresarial y financiero

El impacto de esta vulnerabilidad puede ser significativo, ya que los atacantes con acceso a un sistema comprometido podrían:

• Ejecutar comandos remotos con privilegios equivalentes al usuario de Asterisk.

• Interceptar y manipular llamadas VoIP.

• Crear extensiones SIP falsas para fraude de llamadas internacionales.

• Obtener acceso a datos sensibles de comunicaciones corporativas.

Dado que FreePBX es ampliamente utilizado en infraestructuras críticas de telecomunicaciones, el riesgo se extiende a empresas, proveedores de servicios y call centers en todo el mundo.

Proteger FreePBX es una prioridad inmediata

El incidente con la vulnerabilidad de día cero en FreePBX es un recordatorio claro de la importancia de no exponer interfaces de administración directamente a Internet y de contar con planes de respuesta a incidentes bien definidos.

Sangoma trabaja en una solución definitiva, pero los administradores deben actuar de inmediato para proteger sus sistemas. Bloquear el acceso externo al ACP, instalar actualizaciones de seguridad y monitorear activamente posibles signos de intrusión son medidas críticas para mitigar el impacto.

La explotación activa confirma que esta amenaza no puede ser ignorada: la seguridad de las comunicaciones empresariales depende de una respuesta rápida y preventiva.

Fuente: Bleeping Computer