{"id":102,"date":"2026-02-27T19:27:34","date_gmt":"2026-02-27T19:27:34","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/27\/mas-de-900-instancias-de-sangoma-freepbx-comprometidas-en-continuos-ataques-de-web-shell-cyberdefensa-mx\/"},"modified":"2026-02-27T19:27:34","modified_gmt":"2026-02-27T19:27:34","slug":"mas-de-900-instancias-de-sangoma-freepbx-comprometidas-en-continuos-ataques-de-web-shell-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/02\/27\/mas-de-900-instancias-de-sangoma-freepbx-comprometidas-en-continuos-ataques-de-web-shell-cyberdefensa-mx\/","title":{"rendered":"M\u00e1s de 900 instancias de Sangoma FreePBX comprometidas en continuos ataques de Web Shell \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

La Fundaci\u00f3n Shadowserver ha revel\u00f3<\/a> que m\u00e1s de 900 instancias de Sangoma FreePBX a\u00fan permanecen infectadas con web shells como parte de ataques que explotaron una vulnerabilidad de inyecci\u00f3n de comandos a partir de diciembre de 2025.<\/p>\n

De estos, 401 instancias<\/a> est\u00e1n ubicados en Estados Unidos, seguidos por 51 en Brasil, 43 en Canad\u00e1, 40 en Alemania y 36 en Francia.<\/p>\n

La entidad sin fines de lucro dijo que los compromisos probablemente se logren mediante la explotaci\u00f3n de CVE-2025-64328 (puntaje CVSS: 8.6), una falla de seguridad de alta gravedad que podr\u00eda permitir la inyecci\u00f3n de comandos posteriores a la autenticaci\u00f3n.<\/p>\n

\u00abEl impacto es que cualquier usuario con acceso al panel de administraci\u00f3n de FreePBX podr\u00eda aprovechar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el host subyacente\u00bb, FreePBX dicho<\/a> en un aviso sobre la falla en noviembre de 2025. \u00abUn atacante podr\u00eda aprovechar esto para obtener acceso remoto al sistema como usuario de asterisco\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La vulnerabilidad afecta a las versiones de FreePBX superiores a la 17.0.2.36 inclusive. Se resolvi\u00f3 en la versi\u00f3n 17.0.3. Como mitigaciones, se recomienda agregar controles de seguridad para garantizar que solo los usuarios autorizados tengan acceso al Panel de control del administrador (ACP) de FreePBX, restringir el acceso desde redes hostiles al ACP y actualizar el m\u00f3dulo de almac\u00e9n de archivos a la \u00faltima versi\u00f3n.<\/p>\n

Desde entonces, la vulnerabilidad ha sido objeto de explotaci\u00f3n activa en la naturaleza, lo que llev\u00f3 a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarla a su cat\u00e1logo de Vulnerabilidades Explotadas Conocidas (KEV) a principios de este mes.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Fuente: La Fundaci\u00f3n Shadowserver<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En un informe publicado a finales del mes pasado, Fortinet FortiGuard Labs revel\u00f3 que el actor de amenazas detr\u00e1s de la operaci\u00f3n de fraude cibern\u00e9tico con nombre en c\u00f3digo INJ3CTOR3 ha estado explotando CVE-2025-64328 desde principios de diciembre de 2025 para entregar un shell web con nombre en c\u00f3digo EncystPHP.<\/p>\n

\u00abAl aprovechar los contextos administrativos de Elastix y FreePBX, el shell web opera con privilegios elevados, lo que permite la ejecuci\u00f3n de comandos arbitrarios en el host comprometido e inicia la actividad de llamadas salientes a trav\u00e9s del entorno PBX\u00bb, se\u00f1al\u00f3 la compa\u00f1\u00eda de ciberseguridad.<\/p>\n

Se recomienda a los usuarios de FreePBX que actualicen sus implementaciones de FreePBX a la \u00faltima versi\u00f3n lo antes posible para contrarrestar las amenazas activas.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

La Fundaci\u00f3n Shadowserver ha revel\u00f3 que m\u00e1s de 900 instancias de Sangoma FreePBX a\u00fan permanecen infectadas con web shells como parte de ataques que explotaron una vulnerabilidad de inyecci\u00f3n de comandos a partir de diciembre de 2025. De estos, 401 instancias est\u00e1n ubicados en Estados Unidos, seguidos por 51 en Brasil, 43 en Canad\u00e1, 40 […]<\/p>\n","protected":false},"author":1,"featured_media":58,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[233,231,232,24,230,228,98,229,235,234],"class_list":["post-102","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-ataques","tag-comprometidas","tag-continuos","tag-cyberdefensa-mx","tag-freepbx","tag-instancias","tag-mas","tag-sangoma","tag-shell","tag-web"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/102","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=102"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/102\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/58"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=102"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=102"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}