Aanvallers maken actief misbruik van een recente kwetsbaarheid in FreePBX om servers met een webshell te infecteren. Dat laat Fortinet in een analyse weten. Ook het Amerikaanse cyberagentschap CISA meldt actief misbruik van het beveiligingslek, aangeduid als CVE-2025-64328. FreePBX is software voor het beheren en configureren van telefooncentrales die op Asterisk VoiP-servers draaien.

Een kwetsbaarheid in de admin-interface maakt het voor een geauthenticeerde aanvaller mogelijk om willekeurige shellcommando's op de onderliggende server uit te voeren. "Een aanvaller kan dit gebruiken om als de asterisk user remote toegang tot het systeem te krijgen", aldus het beveiligingsbulletin. Afgelopen november verschenen er updates voor het probleem.

Een week geleden meldde Fortinet dat aanvallers CVE-2025-64328 gebruiken om de EncystPHP-webshell op kwetsbare FreePBX-servers te installeren. Via de webshell kunnen de aanvallers toegang tot de server behouden en verdere aanvallen uitvoeren. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft het FreePBX-lek inmiddels toegevoegd aan het overzicht van actief aangevallen kwetsbaarheden, maar geeft geen details over de aanvallen. Vorig jaar werd een ander FreePBX-lek (CVE-2025-57819) nog gebruikt voor het hacken van honderden telefooncentrales.