Negenhonderd FreePBX-telefooncentrales wereldwijd, waaronder meer dan twintig in Nederland, zijn geïnfecteerd met malware. Daarvoor waarschuwt The Shadowserver Foundation, die zich baseert op eigen onderzoek. FreePBX is software voor het beheren en configureren van telefooncentrales die op Asterisk VoiP-servers draaien. Het wordt door allerlei organisaties en bedrijven gebruikt.

De afgelopen maanden zijn twee kwetsbaarheden in FreePBX actief gebruikt bij aanvallen. Het gaat om CVE-2025-57819 en CVE-2025-64328. Via het eerste beveiligingslek kan een aanvaller zonder geldige inloggegevens als Administrator inloggen. Vervolgens is remote code execution en het aanpassen van de database via SQL injection mogelijk, waardoor er volledige controle over het systeem kan worden verkregen.

CVE-2025-64328 betreft een kwetsbaarheid in de admin-interface waardoor een geauthenticeerde aanvaller willekeurige shellcommando's op de onderliggende server kan uitvoeren. "Een aanvaller kan dit gebruiken om als de asterisk user remote toegang tot het systeem te krijgen", aldus het beveiligingsbulletin. Afgelopen november verschenen er updates voor het probleem.

Onlangs meldde Fortinet dat aanvallers CVE-2025-64328 gebruiken om een webshell op kwetsbare FreePBX-servers te installeren. Via de webshell kunnen aanvallers toegang tot de server behouden en verdere aanvallen uitvoeren. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. Het stelt dat het zo'n negenhonderd FreePBX-systemen heeft gedetecteerd die met een webshell besmet zijn, waarbij vermoedelijk gebruik is gemaakt van CVE-2025-64328. Vierhonderd van de gecompromitteerde systemen bevinden zich in de Verenigde Staten. In Nederland werden 24 besmette servers geteld.