Una nuova e grave vulnerabilità, identificata come CVE-2025-57819, interessa diverse versioni di FreePBX: permette a malintenzionati di accedere da remoto senza autenticazione e prendere il controllo del sistema. Se hai FreePBX installato per gestire chiamate o il tuo centralino aziendale, aggiorna subito all’ultima versione disponibile ed evita di esporre la pannello di amministrazione su internet. Inoltre, controlla la presenza di file sospetti e attività anomale nei tuoi log per identificare eventuali compromissioni.
Cos’è FreePBX e Perché È Così Diffuso
FreePBX è una soluzione software open-source che permette di gestire centralini telefonici (PBX) basati su VoIP: viene usato da aziende, call center, service provider e anche da molte piccole imprese per le comunicazioni telefoniche digitali. Il suo successo deriva dalla facilità d’uso, dalla ricchezza di funzionalità e dal fatto di essere gratuito.
FreePBX si basa su Asterisk, il motore open-source più diffuso per le comunicazioni vocali, ed è ampliabile tramite moduli aggiuntivi come l’Endpoint Manager, che semplifica la gestione degli apparati telefonici.
Dettagli della Vulnerabilità Zero-Day (CVE-2025-57819)
Origine e Gravità
Questa vulnerabilità, classificata con il massimo punteggio di gravità CVSS 10.0, è causata da una insufficiente sanitizzazione dell’input utente nel modulo commerciale “endpoint” di FreePBX. Gli aggressori possono sfruttare un errore di validazione per:
- aggirare le autenticazioni,
- accedere come amministratore senza credenziali,
- eseguire codice arbitrario,
- potenzialmente ottenere il controllo root sulla macchina.
Sono particolarmente a rischio i sistemi con il pannello amministratore esposto su Internet attraverso le porte 80 o 443 e con insufficienti controlli di accesso.
Versioni Affette
Le versioni colpite sono:
- FreePBX 15 prima della 15.0.66
- FreePBX 16 prima della 16.0.89
- FreePBX 17 prima della 17.0.3
Le versioni end-of-life (EOL) potrebbero anch’esse essere vulnerabili, ma non sono state testate: chi usa versioni non più supportate deve aggiornare urgentemente.
Come Funziona l’Attacco
Gli attacchi notati fin da prima del 21 agosto 2025 partono dalla manipolazione di input non correttamente validato all’interno del modulo endpoint. Dopo aver ottenuto accesso non autenticato, gli aggressori combinano questa breccia con ulteriori passaggi per arrivare al controllo completo del sistema.
Le azioni tipiche degli aggressori includono:
- Modifica o cancellazione di file critici di configurazione.
- Installazione di script malevoli (“.clean.sh”) per nascondere le tracce e mantenere l’accesso.
- Creazione di utenti non autorizzati o modifica di quelli esistenti.
- Esfiltrazione di dati sensibili come le registrazioni delle chiamate.
- Collocazione di backdoor per accesso persistente.
- Utilizzo di estensioni telefoniche anomale per testare la compromissione.
Indicatori di Compromissione (IOC)
Per capire se il tuo sistema è stato violato, verifica subito:
- Presenza del file
.clean.shnella cartella/var/www/html(non dovrebbe mai esistere in condizioni normali). - File
/etc/freepbx.confmancante o recentemente modificato. - Richieste POST sospette verso
modular.php(consultando i log Apache dal 21 agosto 2025 in poi). - Chiamate verso l’interno 9998 (se non espressamente configurato).
- Presenza di utenti “ampuser” ignoti o altri utenti sconosciuti nel database MariaDB di FreePBX.
Chi Sta Sfruttando la Vulnerabilità?
Riporti recenti da aziende di sicurezza e dal team FreePBX confermano attività di exploit attiva: l’interesse è elevato tra gruppi ransomware, broker di accesso iniziale e truffatori che abusano delle chiamate premium. Il rischio non è solo la perdita dell’integrità del sistema, ma l’impatto può propagarsi alle reti aziendali interne e ai dati sensibili.
Aggiornamenti e Patch Disponibili
Sangoma, il fornitore principale dietro FreePBX, ha rilasciato aggiornamenti di sicurezza che correggono la vulnerabilità:
- FreePBX 15.x → upgrade a 15.0.66 o superiore
- FreePBX 16.x → upgrade a 16.0.89 o superiore
- FreePBX 17.x → upgrade a 17.0.3 o superiore
Aggiorna immediatamente: il mancato aggiornamento espone il sistema a un rischio di compromissione quasi certo.
Azioni Immediate da Intraprendere (Consigli Essenziali):
- Aggiorna subito FreePBX all’ultima versione compatibile.
- Disabilita l’accesso pubblico al pannello amministratore: limita la gestione dall’esterno solo tramite VPN, IP sicuri o whitelist.
- Controlla indicatori di compromissione secondo lo schema sopra.
- Effettua scan di sicurezza con strumenti specifici per FreePBX e VoIP.
- Elimina la presenza di file sospetti e revisiona le configurazioni degli utenti.
Ulteriori Misure Approfondite (Consigli Avanzati):
- Implementa un controllo degli accessi rigoroso, ricorrendo a firewall applicativi che filtrano sia le richieste HTTP che quelle VoIP.
- Utilizza autenticazione multifattore dove possibile, sia per il pannello ACP che per la shell di amministrazione.
- Monitora costantemente i log di sistema e di chiamata: analizza anomalie, accessi non previsti o chiamate insolite.
- Attiva alert e monitoraggio su file critici come
/etc/freepbx.confe/var/www/html/.clean.sh. - Isola il sistema compromesso dalla rete aziendale, attiva incident response e considera il ripristino da backup verificato se trovi segni di compromissione.
- Forma il personale tecnico sugli attuali vettori di attacco su VoIP e centralini Asterisk/FreePBX.
- Pianifica periodicamente test di penetrazione e audit di sicurezza sui sistemi di comunicazione aziendale.
La velocità di risposta è fondamentale: agisci subito per limitare danni e ridurre il rischio di attacchi ransomware, furti di dati o interruzioni operative. FreePBX è uno strumento potente, ma la sua sicurezza dipende dall’attenzione all’aggiornamento, alla configurazione e al monitoraggio continuo.
