Die Shadowserver Foundation warnt vor über 900 infizierten FreePBX-Instanzen weltweit, die durch die Ausnutzung einer kritischen Kommando-Injection-Schwachstelle seit Dezember 2025 mit Web-Shells befallen wurden.
Mehr als 900 Sangoma-FreePBX-Systeme sind derzeit mit Malware verseucht, wie die Shadowserver Foundation berichtet. Die Infektionen gehen auf gezielt ausgenutzten Sicherheitslücken zurück, die seit Dezember 2025 aktiv angegriffen werden. Den größten Anteil machen mit 401 Instanzen die USA aus, gefolgt von Brasilien (51), Kanada (43), Deutschland (40) und Frankreich (36).
Die Non-Profit-Organisation identifizierte CVE-2025-64328 als Angriffspunkt – eine hochkritische Schwachstelle mit dem CVSS-Score von 8.6, die nach erfolgreicher Authentifizierung zu Kommando-Injection-Attacken führt. Nach Angaben von Sangoma könnte ein Angreifer damit beliebige Shell-Befehle auf dem Host-System ausführen. “Jeder Benutzer mit Zugang zum FreePBX-Administrationsbereich kann diese Lücke nutzen, um sich als ‘asterisk’-Benutzer Remote-Zugriff zu sichern”, warnte das Unternehmen bereits im November 2025.
Betroffen sind FreePBX-Versionen ab 17.0.2.36. Die Patch wurde mit Version 17.0.3 bereitgestellt. Als Zwischenmaßnahmen empfehlen Experten, den Administratorbereich durch Zugriffsbeschränkungen zu schützen, verdächtige Netzwerke zu blockieren und das Filestore-Modul zu aktualisieren.
Die Sicherheitslücke wird mittlerweile massiv ausgenutzt. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) listete CVE-2025-64328 daraufhin im Katalog der “Known Exploited Vulnerabilities” auf.
FortiGuard Labs dokumentierte, dass die Cyberkriminellen-Gruppe INJ3CTOR3 bereits seit früh Dezember 2025 gezielt angreift und die Web-Shell “EncystPHP” verbreitet. “Die Malware nutzt privilegierte Zugangsrechte von Elastix und FreePBX aus, um willkürliche Befehle auszuführen und unerlaubte Anrufe über die PBX-Infrastruktur zu initiieren”, erklärte Fortinet.
FreePBX-Betreiber sollten ihre Systeme dringend auf die neueste Version aktualisieren, um sich vor den aktiv laufenden Angriffen zu schützen.
Quelle: The Hacker News