Chiamate fantasma: le web shell infestano centinaia di server FreePBX in tutto il mondo

Tutto inizia con una semplice telefonata - o, più precisamente, con centinaia di esse, che squillano da sistemi telefonici compromessi in ogni angolo del pianeta. Dietro le quinte, è in corso un’invasione silenziosa: oltre 900 istanze di Sangoma FreePBX sono cadute vittima di una vulnerabilità ad alta gravità, dirottate da attaccanti che ora si annidano invisibili nelle ombre digitali.

La Shadowserver Foundation, un’organizzazione nonprofit di monitoraggio, ha lanciato per prima l’allarme: già da dicembre 2025 gli attaccanti hanno iniziato a sfruttare un bug di command injection (CVE-2025-64328) nella piattaforma FreePBX di Sangoma, ampiamente utilizzata. La falla consente a chiunque abbia accesso al pannello di Amministrazione di FreePBX di eseguire comandi arbitrari sul server sottostante - di fatto consegnando loro le chiavi del regno. Una volta dentro, gli intrusi installano le cosiddette “web shell”, ottenendo un accesso persistente e furtivo al sistema.

Dal punto di vista geografico, la mappa delle infezioni dipinge un quadro preoccupante. Gli Stati Uniti sono i più colpiti, con 401 sistemi compromessi, ma le infezioni si estendono a Brasile, Canada, Germania e Francia. La vulnerabilità impatta le versioni di FreePBX 17.0.2.36 e successive, ma è stata corretta nella 17.0.3. Eppure, centinaia di sistemi restano non aggiornati ed esposti.

Gli esperti di cybersecurity dei FortiGuard Labs di Fortinet hanno tracciato l’attore della minaccia noto come INJ3CTOR3, che sta sfruttando questa falla per distribuire la web shell EncystPHP. Con questo strumento, gli attaccanti possono non solo eseguire comandi da remoto, ma anche manipolare l’ambiente PBX per avviare chiamate in uscita - potenzialmente per frodi, spam o campagne ancora più sinistre. Gli attaccanti sfruttano privilegi amministrativi, spesso ottenuti tramite controlli di accesso deboli o interfacce esposte, per massimizzare i danni.

In risposta, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto CVE-2025-64328 alla propria lista ad alta priorità Known Exploited Vulnerabilities, sollecitando un’azione immediata. Agli amministratori di FreePBX si raccomanda vivamente di aggiornare i sistemi, limitare l’accesso al Pannello di Controllo dell’Amministrazione e rafforzare le difese di rete per prevenire ulteriori violazioni.

La vicenda FreePBX che si sta dipanando è un promemoria netto: nel mondo interconnesso della telefonia e dell’IT, anche un singolo aggiornamento trascurato può lasciare la porta spalancata agli intrusi digitali. Per centinaia di organizzazioni, i telefoni che squillano potrebbero ora portare una nota inquietante - un avvertimento che riecheggia dal cuore dei loro sistemi compromessi.

WIKICROOK

• Web Shell: Una web shell è uno script malevolo caricato su un server dagli hacker, che consente loro di controllare il server da remoto tramite un’interfaccia web.
• Command Injection: La command injection è una vulnerabilità in cui gli attaccanti inducono i sistemi a eseguire comandi non autorizzati inserendo input malevolo in campi utente o interfacce.
• FreePBX: FreePBX è un pannello di controllo web facile da usare per gestire e configurare sistemi telefonici che funzionano sulla piattaforma open-source Asterisk.
• CVE: CVE, o Common Vulnerabilities and Exposures, è un sistema per identificare in modo univoco e tracciare le falle di cybersecurity note pubblicamente in software e hardware.
• Known Exploited Vulnerabilities (KEV): Le Known Exploited Vulnerabilities (KEV) sono bug software elencati ufficialmente che gli hacker stanno usando attivamente per attaccare sistemi reali.