Die Shadowserver Foundation meldet, dass mehr als 900 Sangoma-FreePBX-Instanzen nach wie vor mit Web-Shells infiziert sind. Die zugrunde liegende Angriffswelle setzte im Dezember 2025 ein und stützt sich auf eine Schwachstelle zur Befehlsinjektion.

Die regionale Verteilung der Infektionen ist deutlich auf die USA konzentriert: 401 der betroffenen Systeme stehen dort. Es folgen 51 Instanzen in Brasilien, 43 in Kanada, 40 in Deutschland und 36 in Frankreich. Nach Einschätzung der gemeinnützigen Organisation gehen die Kompromittierungen wahrscheinlich auf die Ausnutzung von CVE-2025-64328 zurück.

Die als hochgradig kritisch eingestufte Schwachstelle erhielt einen CVSS-Wert von 8,6 und erlaubt eine Befehlsinjektion nach erfolgter Authentifizierung. In einem Sicherheitshinweis erläuterte FreePBX die Tragweite: Jeder Nutzer mit Zugang zum Administrationsbereich von FreePBX könne die Lücke nutzen, um beliebige Shell-Befehle auf dem zugrunde liegenden Host auszuführen. Ein Angreifer könne sich auf diesem Weg Fernzugriff auf das System als Benutzer „asterisk" verschaffen.

Die Schwachstelle betrifft FreePBX-Versionen ab einschließlich 17.0.2.36 und wurde mit Version 17.0.3 behoben. Als Gegenmaßnahmen empfiehlt FreePBX, durch zusätzliche Sicherheitskontrollen sicherzustellen, dass nur autorisierte Nutzer Zugriff auf das Administrator Control Panel (ACP) erhalten, den Zugang aus feindlichen Netzwerken zum ACP einzuschränken und das Filestore-Modul auf die aktuelle Version zu aktualisieren.

Inzwischen wird die Lücke aktiv ausgenutzt. Die US-Behörde CISA nahm sie in diesem Monat in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf.

In einem kürzlich veröffentlichten Bericht erläuterten die Fortinet FortiGuard Labs, dass der Akteur hinter der Betrugsoperation mit dem Decknamen INJ3CTOR3 CVE-2025-64328 seit Anfang Dezember 2025 ausnutzt, um eine Web-Shell namens EncystPHP einzuschleusen. Laut dem Unternehmen agiert die Web-Shell durch die Nutzung administrativer Kontexte von Elastix und FreePBX mit erhöhten Rechten. Dadurch lassen sich beliebige Befehle auf dem kompromittierten Host ausführen und über die PBX-Umgebung ausgehende Anrufe anstoßen.

FreePBX-Anwendern wird geraten, ihre Installationen schnellstmöglich auf die neueste Version zu aktualisieren.