Die im November 2025 behobene Schwachstelle wird unter der Kennung CVE-2025-64328 geführt und mit einem CVSS-Wert von 8,6 bewertet. Betroffen ist das Filestore-Modul innerhalb der administrativen Oberfläche des Endpoint Managers von FreePBX. Es handelt sich um eine Command-Injection-Lücke nach erfolgter Authentifizierung: Jeder angemeldete Benutzer mit Zugriff auf die Oberfläche kann beliebige Shell-Befehle auf dem zugrunde liegenden Host ausführen und sich auf diesem Weg Fernzugriff verschaffen.
Fortinet hatte im vergangenen Monat berichtet, dass eine als INJ3CTOR3 bezeichnete Angreifergruppe CVE-2025-64328 bereits seit über einem Monat ausnutzte, um die Web-Shell EncystPHP zu installieren. Diese ermöglicht den Angreifern das Ausführen von Befehlen aus der Ferne, dauerhaften Zugriff sowie das Nachladen weiterer Web-Shells.
“Diese Vorfälle beginnen mit der Ausnutzung einer FreePBX-Schwachstelle, gefolgt von der Installation einer PHP-Web-Shell in den Zielumgebungen. Wir gehen davon aus, dass diese Kampagne aktuelle Angriffsaktivitäten und Verhaltensmuster widerspiegelt, die INJ3CTOR3 zugeordnet werden”, erklärte Fortinet.
Eine Woche später nahm die US-amerikanische Cybersicherheitsbehörde CISA die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf. Gemeinsam mit ihr wurde CVE-2019-19006 gelistet, eine weitere FreePBX-Lücke, die von derselben Gruppe ausgenutzt wird.
Die Shadowserver Foundation berichtet nun, dass rund 900 FreePBX-Instanzen weiterhin kompromittiert sind und Web-Shells betreiben. Die betroffenen Endpoint-Manager-Installationen wurden den Angaben zufolge wahrscheinlich über CVE-2025-64328 angegriffen. Der Großteil der kompromittierten Systeme – etwa 400 – befindet sich in den USA. Mehrere Dutzend Instanzen entfallen auf Brasilien, Kanada, Deutschland, Frankreich, Großbritannien, Italien und die Niederlande, kleinere Zahlen verteilen sich auf zahlreiche weitere Länder.
Nutzern wird geraten, das Filestore-Modul in ihren FreePBX-Installationen auf die neueste Version zu aktualisieren, den Zugriff auf das Administrationspanel auf autorisierte Benutzer zu beschränken und Zugriffe aus bekannten schädlichen Quellen zu blockieren.
