CISA upozorava: stotine FreePBX servera kompromitirane zbog kritične ranjivosti

· Sanja Ledinek

hacker

Velika kampanja kibernetičkih napada pogodila je IP PBX sustave koji koriste FreePBX platformu tvrtke Sangoma, pri čemu je više od 900 poslužitelja diljem svijeta kompromitirano i izloženo web shellovima, što napadačima omogućuje daljinsko upravljanje sustavima.

Kritična ranjivost CVE-2025-64328

Prema podacima Shadowserver Foundation, napadi iskorištavaju ranjivost označenu kao CVE-2025-64328 s CVSS ocjenom 8,6. Riječ je o ranjivosti injekcije naredbi nakon autentifikacije, što znači da svaki korisnik s pristupom administratorskom sučelju može izvršavati proizvoljne shell naredbe na poslužitelju Problem pogađa više verzija FreePBX-a, uključujući 17.0.2.36. Zakrpa je dostupna u verziji 17.0.3, no velik broj sustava nije ažuriran na vrijeme, što je otvorilo vrata masovnom iskorištavanju.

CISA upozorava_ stotine FreePBX servera kompromitirane zbog kritične ranjivosti_1

SAD najteže pogođene

Od više od 900 kompromitiranih servera:  401 se nalazi u Sjedinjenim Državama,  51 u Brazilu, 43 u Kanadi, 40 u Njemačkoj i  36 u Francuskoj. Ove brojke potvrđuju globalni opseg kampanje, ali i posebno snažan udar na američku infrastrukturu. Zbog aktivnog iskorištavanja, CISA je dodala CVE-2025-64328 u svoj KEV katalog (Known Exploited Vulnerabilities), čime je službeno označena kao ranjivost koja se aktivno koristi u stvarnim napadima.

CISA upozorava_ stotine FreePBX servera kompromitirane zbog kritične ranjivosti_2

EncystPHP web shell i telekom prijevare

Prema analizi Fortinet FortiGuard Labsa, hakerska grupa kodnog imena INJ3CTOR3 počela je iskorištavati ranjivost početkom prosinca 2025 godine
Distribuirali su web shell nazvan EncystPHP, koji radi s visokim privilegijama unutar Elastix i FreePBX okruženja

Nakon kompromitacije napadači mogu:

  • Izvršavati naredbe na daljinu
  • Instalirati dodatni zlonamjerni softver
  • Pokretati neovlaštene odlazne pozive
  • Održavati dugoročni pristup sustavu

Posebno zabrinjava zloupotreba IP PBX sustava za neovlaštene međunarodne pozive, što može uzrokovati velike financijske gubitke kroz telekomunikacijske prijevare.

Što to znači za organizacije

PBX sustavi često su ključni za poslovnu komunikaciju, a njihova kompromitacija može dovesti do prekida rada, krađe podataka i financijske štete. Stručnjaci preporučuju hitnu nadogradnju na FreePBX 17.0.3 ili noviju verziju. provjeru sustava na prisutnost web shellova, ograničavanje administratorskog pristupa i praćenje neobičnih odlaznih poziva i mrežnog prometa.

Ovaj incident još jednom pokazuje koliko je brzo ažuriranje sustava ključno, jer napadači ne čekaju – čim se ranjivost objavi, počinje utrka tko će je prije iskoristiti ili zakrpati.

DRUGE NOVOSTI