Hunderte infizierte FreePBX-Instanzen im Netz

Kriminelle attackieren bereits seit Ende 2025 bekannte Sicherheitslücken in der Open-Source-Bedienoberfläche FreePBX für Asterisk-Telefonanlagen. Die US-amerikanische IT-Sicherheitsbehörde CISA hat vor diesen beobachteten Angriffen gewarnt. Das reicht vielen IT-Verantwortlichen jedoch offenbar nicht, um ihre Anlagen auf den aktuellen Stand zu bringen: Hunderte infizierte Instanzen stehen zugreifbar im Internet.

Davor hat die Shadowserver Foundation auf Mastodon gewarnt. Vergangene Woche haben sie mehr als 900 IP-Adressen entdeckt, an denen kompromittierte FreePBX-Instanzen lauschten. Die IT-Forscher erklären, dass die kompromittierten Geräte wahrscheinlich über die Schwachstelle CVE-2025-64328 geknackt wurden – das deckt sich mit einer der Lücken aus der CISA-Warnung.

FreePBX: Auch in Deutschland zig infizierte Server

Die aktuellen Daten der Shadowserver Foundation zeigen nur einen sehr geringen Rückgang an kompromittierten FreePBX-Servern. Bei der Aufschlüsselung nach Ländern liegen die USA unangefochten und mit Abstand an erster Stelle. Darauf folgen Brasilien, Kanada und bereits an vierter Stelle Deutschland, mit zum Zeitpunkt dieses Artikels noch 38 unterwanderten FreePBX-Instanzen.

Fortinet hat eine Analyse vorgelegt, der zufolge insbesondere eine Cybergruppierung mit dem Namen „INJ3CTOR3“ seit frühem Dezember 2025 die Schwachstelle CVE-2025-64328 in FreePBX (FreePBX Endpoint Manager 17.0.2.36 – 17.0.3) missbraucht, um eine Webshell namens „EncystPHP“ auf geknackte Systeme zu verfrachten.

Die Angreifer haben dabei Datenbank-Informationen aus der FreePBX-Konfigurationsdatei ausgelesen. Anschließend haben sie Cron-Jobs und diverse FreePBX-Nutzerkonten gelöscht, darunter „ampuser“, „svc_freepbx“, „freepbx_svc“ und weitere. Außerdem sucht „EncystPHP“ weitere Webshells und versucht, die zu löschen; das passiert ebenso mit einigen Dateien, die auf Infostealer-Einnistung deuten. Schließlich erlangt die Webshell Persistenz durch Einrichtung eines root-Nutzers „newfpbx“, setzt diverse User-Passwörter auf einen bestimmten Wert zurück und erhöhte deren Zugriffsrechte. Damit die Angreifer sich verbinden können, schleust die Webshell einen öffentlichen SSH-Key ein und verändert die Systemkonfiguration, damit Port 22 (SSH) offen bleibt. Dann lädt EncystPHP weitere Dropper-Software nach. Am Ende verändert sie noch die Log-Dateien und löscht das FreePBX-Endpoint-Manager-Modul „endpoint“.

Die Malware greift noch weiter ins System ein, die Fortinet-Analyse liefert dazu Details und listet auch Hinweise für Infektionen (Indicators of Compromise, IOCs) auf. Damit können Admins ihr System auf Einbruchsspuren untersuchen.

(dmk)