Etwa 900 Sangoma FreePBX-Systeme sind mit Web-Shells kompromittiert, nachdem eine Post-Authentifizierungs-Schwachstelle in der Endpoint-Manager-Oberfläche ausgenutzt wurde. Die Hackergruppe INJ3CTOR3 exploitiert die bereits gepatchte Lücke CVE-2025-64328 seit Dezember 2025.
Eine beträchtliche Anzahl von Sangoma FreePBX-Installationen ist Ziel von Cyberangriffen geworden, bei denen Angreifer Web-Shells zur Erlangung persistenter Kontrolle einschleusten. Das beliebte, auf Open Source basierende Verwaltungstool für Asterisk-basierte IP-Telefonsysteme wurde durch die Ausnutzung einer kritischen Schwachstelle kompromittiert.
Die zugrunde liegende Sicherheitslücke mit der Bezeichnung CVE-2025-64328 (CVSS-Wert 8,6) wurde bereits im November 2025 behoben und betrifft das Filestore-Modul der administrativen Schnittstelle des Endpoint Managers. Es handelt sich dabei um eine Post-Authentifizierungs-Schwachstelle bei der Kommandoeinspeisung, die es authentifizierten Anwendern ermöglicht, beliebige Shell-Befehle auf dem Host-System auszuführen und Fernzugriff zu erlangen.
Der Sicherheitsanbieter Fortinet machte public, dass die Hackergruppe INJ3CTOR3 die Lücke über mehrere Wochen hinweg zur Verbreitung einer PHP-Web-Shell namens EncystPHP ausnutzte. Diese ermöglicht den Angreifern Remote-Befehlsausführung, persistenten Zugang und weitere Web-Shell-Bereitstellungen.
Die US-Behörde CISA setzte CVE-2025-64328 kurz darauf auf ihre Liste der bekanntermaßen ausgenutzten Schwachstellen und verband sie mit CVE-2019-19006, einer weiteren FreePBX-Lücke, die von INJ3CTOR3 angegriffen wird.
Die gemeinnützige Organisation The Shadowserver Foundation dokumentiert, dass etwa 900 FreePBX-Instanzen weiterhin kompromittiert sind und Web-Shells ausführen. Die geographische Verteilung zeigt einen Schwerpunkt in den USA mit rund 400 betroffenen Systemen, während Dutzende weitere in Brasilien, Kanada, Deutschland, Frankreich, Großbritannien, Italien und den Niederlanden identifiziert wurden.
Experten empfehlen Administratoren dringend, das Filestore-Modul auf die neueste Version zu aktualisieren, den Zugriff auf das Admin-Panel zu beschränken und Verbindungen aus verdächtigen Quellen zu blockieren.
Quelle: SecurityWeek