Marca D de peligro: fallos en FreePBX exponen a miles a ataques de secuestro remoto

Vulnerabilidades críticas en el popular sistema PBX de código abierto FreePBX podrían permitir a los hackers tomar el control, eludir la autenticación y saquear datos sensibles - los parches ya están disponibles, pero ¿los usuarios se están moviendo lo suficientemente rápido?

Todo comenzó con una auditoría de seguridad rutinaria. Cuando los investigadores de Horizon3.ai terminaron, habían descubierto una serie de tres vulnerabilidades de alto impacto acechando en FreePBX, el sistema telefónico de código abierto en el que confían empresas de todo el mundo. Los hallazgos son una llamada de atención: con solo unos pocos clics y solicitudes cuidadosamente elaboradas, los atacantes podrían burlar las defensas, cargar archivos maliciosos e incluso tomar el control de infraestructuras telefónicas completas. El tiempo corre para las organizaciones que aún no han aplicado los parches.

Datos clave

Tres vulnerabilidades críticas: inyección SQL, carga arbitraria de archivos y elusión de autenticación, descubiertas en FreePBX.
Ejecución remota de código es posible, permitiendo a los atacantes ejecutar cualquier comando en los servidores comprometidos.
Parches publicados en octubre y diciembre de 2025; se insta a los usuarios a actualizar a 16.0.92/17.0.6 (SQLi, carga de archivos) y 16.0.44/17.0.23 (elusión de autenticación).
La elusión de autenticación solo es explotable si se activan ciertas configuraciones avanzadas, pero las instalaciones por defecto siguen en riesgo si están mal configuradas.
El método de autenticación heredado “webserver” se identifica como especialmente peligroso; los expertos recomiendan cambiar a “usermanager”.

Detrás de la brecha: cómo funcionan los exploits

FreePBX, columna vertebral de las redes telefónicas empresariales, no es ajeno al cibercrimen. Pero las últimas vulnerabilidades - CVE-2025-61675, CVE-2025-61678 y CVE-2025-66039 - llevan la amenaza a un nuevo nivel. Las fallas permiten a los atacantes inyectar comandos SQL maliciosos, cargar web shells e incluso eludir las pantallas de inicio de sesión si la autenticación del sistema está configurada como “webserver”.

Las vulnerabilidades de inyección SQL permiten a los atacantes manipular directamente la base de datos, potencialmente creando cuentas de administrador falsas o extrayendo datos sensibles. La falla de carga arbitraria de archivos es igual de peligrosa: con un ID de sesión válido, un atacante puede cargar un web shell basado en PHP, abriendo la puerta al control total del servidor y la capacidad de leer archivos críticos como /etc/passwd.

La más alarmante es la elusión de autenticación. Si los administradores han activado una combinación específica de configuraciones avanzadas, los atacantes pueden falsificar una cabecera Authorization para acceder al panel de administración sin credenciales válidas. Desde ahí, es trivial añadir usuarios maliciosos o escalar privilegios. Es un escalofriante eco de una falla anterior (CVE-2025-57819) que ya estaba siendo explotada en la naturaleza hace apenas unos meses.

Los responsables de FreePBX han actuado con rapidez. Las versiones afectadas han sido parcheadas y la opción de autenticación “webserver”, considerada riesgosa, ha sido ocultada de la interfaz de usuario - ahora solo accesible por línea de comandos. Mitigaciones temporales y advertencias en el panel instan a los usuarios a evitar métodos de autenticación heredados.

Lecciones aprendidas - y el camino por delante

Para las organizaciones que dependen de FreePBX, el mensaje es claro: parchear de inmediato, revisar las configuraciones de autenticación y buscar señales de compromiso, especialmente si alguna vez se habilitó la autenticación “webserver”. El código vulnerable subyacente permanece - la seguridad ahora depende de una configuración robusta y parches actualizados.

En un mundo donde las comunicaciones empresariales son un objetivo principal para los ciberataques, incluso pequeños errores de configuración pueden abrir las compuertas. La saga de FreePBX es un recordatorio contundente: la seguridad no es solo cuestión de código, sino de vigilancia cuidadosa y constante.