VOLVER A NOTICIAS
Última HoraBajo

Más de 900 sistemas Sangoma FreePBX siguen infectados por ataques con web shells

3 min de lecturaFuente: The Hacker News

Más de 900 instancias de Sangoma FreePBX permanecen comprometidas por web shells tras una vulnerabilidad de inyección de comandos desde diciembre de 2025.

Ataques continuos con web shells afectan a sistemas Sangoma FreePBX

La Fundación Shadowserver ha identificado más de 900 instancias de Sangoma FreePBX aún infectadas con web shells, como resultado de ataques que explotan una vulnerabilidad de inyección de comandos iniciados en diciembre de 2025. De los sistemas comprometidos, 401 se encuentran en Estados Unidos, seguidos por 51 en Brasil, 43 en Canadá, 40 en Alemania y 36 en Francia. La organización sin fines de lucro confirmó que estos compromisos probablemente forman parte de una campaña sostenida.

Detalles técnicos

Los ataques explotan una vulnerabilidad de inyección de comandos no parcheada en Sangoma FreePBX, una plataforma PBX (Private Branch Exchange) de código abierto ampliamente utilizada para comunicaciones VoIP. Los actores de amenazas despliegan web shells —scripts maliciosos que proporcionan acceso remoto persistente— para mantener el control sobre los sistemas comprometidos. Aunque el identificador CVE exacto no ha sido revelado, la vulnerabilidad permite a los atacantes ejecutar comandos arbitrarios en las instancias afectadas.

Análisis de impacto

La amplia compromisión de sistemas FreePBX plantea riesgos significativos, incluyendo:

  • Acceso no autorizado a comunicaciones VoIP y datos sensibles de llamadas
  • Movimiento lateral dentro de redes que alojan las instancias PBX comprometidas
  • Posibilidad de despliegue de malware adicional, incluyendo ransomware o herramientas de exfiltración de datos
  • Interrupción de las comunicaciones empresariales, especialmente para organizaciones que dependen de servicios VoIP

La distribución geográfica de las infecciones sugiere una campaña globalmente dirigida, con una concentración notable en Norteamérica y Europa.

Recomendaciones para equipos de seguridad

Los profesionales de seguridad que gestionan despliegues de Sangoma FreePBX deben:

  1. Aislar e investigar de inmediato cualquier sistema que muestre actividad sospechosa.
  2. Aplicar los últimos parches de seguridad de Sangoma para mitigar la vulnerabilidad de inyección de comandos.
  3. Escanear en busca de web shells utilizando herramientas como ClamAV, YARA o scripts especializados de detección de web shells.
  4. Revisar los registros de acceso en busca de signos de ejecución de comandos no autorizados o acceso remoto.
  5. Implementar una segmentación de red estricta para limitar el movimiento lateral si un sistema PBX es comprometido.
  6. Monitorear tráfico VoIP inusual que pueda indicar exfiltración de datos o explotación adicional.

Las organizaciones que utilizan FreePBX deben priorizar la remediación, ya que los sistemas sin parches siguen siendo blancos principales para los ciberdelincuentes. La Fundación Shadowserver continúa rastreando la campaña y urge a las entidades afectadas a reportar incidentes para un análisis más detallado.

Compartir

TwitterLinkedIn