Miles de extensiones SIP comprometidas por un fallo grave
Desde el 21 de agosto, atacantes han aprovechado una vulnerabilidad en FreePBX que facilita la ejecución de comandos con privilegios elevados si el panel de administración está accesible desde internet. Esto ha permitido el compromiso de miles de extensiones y cientos de troncales en diferentes infraestructuras.
El 28 de agosto, Sangoma desplegó un parche para las versiones afectadas, incluyendo una actualización anticipada a través de EDGE. Sin embargo, la recomendación inmediata es mucho más drástica: restringir el acceso al panel solo a direcciones IP de confianza utilizando el firewall de FreePBX.
Los administradores deben revisar posibles señales de compromiso, como archivos modificados (/etc/freepbx.conf), scripts sospechosos, o actividad inusual en registros de Apache o llamadas a la extensión 9998. Ante sospechas, la restauración desde backups previos al ataque y el cambio de todas las credenciales resulta indispensable.
Sangoma ha decidido no revelar los detalles técnicos exactos para evitar nuevos ataques, pero publicó indicadores claros para la detección y mitigación del problema. El mensaje es contundente: quien tenga un sistema vulnerable, debe actuar de inmediato y monitorear cualquier abuso en llamadas y facturación.
La velocidad en la respuesta es clave para evitar daños mayores. Revisar y asegurar sistemas no puede esperar.
Miles de extensiones SIP comprometidas por un fallo grave
Desde el 21 de agosto, atacantes han aprovechado una vulnerabilidad en FreePBX que facilita la ejecución de comandos con privilegios elevados si el panel de administración está accesible desde internet. Esto ha permitido el compromiso de miles de extensiones y cientos de troncales en diferentes infraestructuras.
El 28 de agosto, Sangoma desplegó un parche para las versiones afectadas, incluyendo una actualización anticipada a través de EDGE. Sin embargo, la recomendación inmediata es mucho más drástica: restringir el acceso al panel solo a direcciones IP de confianza utilizando el firewall de FreePBX.
Los administradores deben revisar posibles señales de compromiso, como archivos modificados (/etc/freepbx.conf), scripts sospechosos, o actividad inusual en registros de Apache o llamadas a la extensión 9998. Ante sospechas, la restauración desde backups previos al ataque y el cambio de todas las credenciales resulta indispensable.
Sangoma ha decidido no revelar los detalles técnicos exactos para evitar nuevos ataques, pero publicó indicadores claros para la detección y mitigación del problema. El mensaje es contundente: quien tenga un sistema vulnerable, debe actuar de inmediato y monitorear cualquier abuso en llamadas y facturación.
La velocidad en la respuesta es clave para evitar daños mayores. Revisar y asegurar sistemas no puede esperar.
