FreePBX sotto attacco: scoperta vulnerabilità critica CVE-2025-57819

CVE-2025-57819 è una vulnerabilità zero-day che permette l’esecuzione di SQL Injection in FreePBX. Scopri tutti i dettagli e come proteggerti.

I centralini PBX (Private Branch Exchange) rappresentano uno dei principali strumenti di comunicazione utilizzati in ambito aziendale. Si tratta di reti telefoniche private che gestiscono in modo centralizzato sia le chiamate interne all’organizzazione, che quelle verso la rete telefonica pubblica. Inoltre, negli ultimi anni, i sistemi PBX hanno anche iniziato a integrare le tecnologie VoIP e cloud. In questo caso, le aziende scelgono di affidarsi ad un operatore esterno senza dover installare fisicamente il centralino nella propria sede, in modo da avere una gestione più flessibile delle comunicazioni.

Principali caratteristiche di CVE-2025-57819
Versioni vulnerabili e indicatori di compromissione
Prevenzione e difesa

freepbx vulnerabilita cve-2025-57819 immagine

Tuttavia, questi servizi possono essere presi di mira dai criminali informatici, specie se presentano falle di sicurezza non ancora identificate. È il caso di CVE-2025-57819, vulnerabilità zero-day altamente critica individuata all’interno della piattaforma FreePBX.

In questo articolo analizzeremo nel dettaglio CVE-2025-57819, il suo funzionamento e le modalità di sfruttamento da parte degli attaccanti. Vedremo anche gli indicatori di compromissione finora rilevati e le principali linee guida per difendersi da questo tipo di minaccia.

Principali caratteristiche di CVE-2025-57819

La vulnerabilità è stata scoperta dal team di cybersecurity di Sangoma, la stessa azienda sviluppatrice di FreePBX. Secondo i ricercatori, la falla riguarda le versioni del software che espongono sul web il loro pannello di controllo amministrativo (ACP). La causa principale risiede in un’insufficiente sanificazione degli input forniti dagli utenti nel modulo Endpoint Manager di FreePBX. Questo difetto consente agli attaccanti di eseguire attacchi SQL injection, che a loro volta possono essere sfruttati per:

Manipolare le configurazioni dei database e dei flussi di chiamata;
Eseguire codice da remoto;
Compromettere i trunk SIP;
Generare traffico internazionale internazionale non autorizzato.

A causa della sua criticità, CVE-2025-57819 ha ricevuto una classificazione con punteggio 10 su 10 sulla scala CVSS (Common Vulnerabilities Scoring System).

Sfruttamento della vulnerabilità

A partire dal 21 agosto 2025, Sangoma ha rilevato accessi non autorizzati su alcune istanze vulnerabili di FreePBX. Gli attaccanti hanno colpito versioni del software prive di adeguate Access Control List (ACL) e con sistemi di filtraggio IP insufficienti, sfruttando la falla nel modulo Endpoint Manager per ottenere un accesso iniziale. Questo primo passo è stato utilizzato per ottenere privilegi di root all’interno dei sistemi colpiti.

L’analisi condotta da watchTowr Labs e pubblicata a settembre 2025, ha rivelato che i cybercriminali hanno installato web shell e backdoor per mantenere l’accesso persistente. Tra gli artefatti individuati figura uno script bash di pulizia, localizzato nel percorso /var/www/html/.clean.sh, progettato per cancellare ogni traccia dell’intrusione. Un ulteriore punto critico riguarda il class loader di FreePBX, che permette l’esecuzione diretta di file .php presenti nella directory admin/modules senza autenticazione. Questa debolezza permette di trasformare la SQL Injection in Remote Code Execution (RCE) attraverso il parametro cron_jobs, utilizzato per iniettare comandi arbitrari da eseguire sul sistema.

watchTowr ha dichiarato che la patch ufficiale rilasciata da Sangoma corregge solo la vulnerabilità SQL Injection nel modulo Endpoint Manager, ma non risolve la debolezza del class loader. Ciò permette ai cybercriminali di poter ancora sfruttare questa debolezza a proprio vantaggio.

Versioni vulnerabili e indicatori di compromissione

La vulnerabilità CVE_2025-57819 riguarda le seguenti versioni del software FreePBX:

FreePBX 15 fino alla 15.0.66;
FreePBX 16 fino alla 16.0.89;
FreePBX 17 fino alla 17.0.3.

Sebbene Sangoma non abbia divulgato ulteriori dettagli tecnici sulla vulnerabilitàle analisi condotte successivamente su sistemi compromessi hanno permesso di individuare diversi indicatori di compromissione (IoC). In particolare, la società ha segnalato la presenza di:

File /etc/freepbx.conf modificato o assente;
Presenza del file /var/www/html/.clean.shall’interno del sistema;
Chiamate con estensione 99998 nei log di Asterisk e anomalie nello storico delle chiamate;
Voci sospette nei log di Apache relative al file modular.php;
Account non riconosciuti nella tabella ampuser dei database MariaDB/MySQL, che memorizza le informazioni degli utenti registrati nel sistema.

Dopo la pubblicazione dell’avviso ufficiale da parte di Sangoma, numerosi utenti di FreePBX hanno segnalato problematiche sui propri sistemi tramite forum e piattaforme online, tra cui Reddit. In particolare, un utente ha riferito la compromissione di un’intera infrastruttura, con circa 3000 estensioni SIP e 500 trunk SIP colpiti.

Prevenzione e difesa

A seguito della scopeta di CVE-2025-57819, il CISA ha inserito la vulnerabilità nel proprio Known Exploited Vulnerabilities Catalog (KEV), imponendo alle agenzie federali del ramo esecutivo (FCEB) di applicare con urgenza le patch correttive rilasciate il 19 settembre 2025. Parallelamente, Sangoma ha esortato gli utenti di FreePBX ad adottare immediatamente le misure di mitigazione. Tra le raccomandazioni principali si indicano:

Aggiornare immediatamente FreePBX all’ultima versione disponibile;
Restringere l’accesso pubblico al pannello di controllo;
Isolare tutti i sistemi vulnerabili dalla rete;
Cambiare le credenziali di accesso al sistema;
Ripristinare i server vulnerabili utilizzando backup precedenti al 21 agosto 2025.

Alla luce di quanto visto finora, risulta evidente come le piattaofrme PBX possano rappresentare un serio pericolo se non adeguatamente protette. Pertanto, si raccomanda anche di applicare alcune best practice di sicurezza per prevenire questo tipo di minaccia, come:

Monitorare costantemente la cronologia delle chiamate e le bollette telefoniche, per individuarte eventuali segnali di traffico sospetto;
Evitare di esporre direttamente in rete il pannello di amministrazione;
Adottare il prinicpio del privilegio minimo, limitando i diritti di accesso solo al personale autorizzato;
Implementare sistemi di sanificazione degli input per prevenire attacchi SQL Injection e simili.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.