Um levantamento citado pela The Hacker News aponta que mais de 900 instâncias Sangoma FreePBX ainda permanecem infectadas com web shells, em uma campanha associada à exploração do CVE-2025-64328.  

🧠 O que aconteceu

A The Hacker News reportou que a Shadowserver Foundation identificou mais de 900 instâncias Sangoma FreePBX ainda infectadas com web shells (shell web). O ponto importante: a atividade é descrita como em andamento desde dezembro de 2025, ligada à exploração de uma falha de segurança no ecossistema do FreePBX.

Entre os países com mais instâncias, a matéria cita 401 nos EUA e 51 no Brasil, além de Canadá, Alemanha e França. Isso não significa “todo mundo está vulnerável”, mas indica um volume relevante de sistemas que continuaram expostos tempo suficiente para serem comprometidos.

A vulnerabilidade mencionada é o CVE-2025-64328, descrita como uma falha de pós-autenticação que pode permitir command injection (injeção de comando). Em outras palavras: alguém com acesso ao painel administrativo consegue, em determinadas condições, acionar execução de comandos no host.

O detalhe que muda o jogo

A CISA adicionou o CVE-2025-64328 ao catálogo Known Exploited Vulnerabilities (KEV). Tradução corporativa direta: há exploração conhecida no mundo real, então a priorização de correção deixa de ser “melhoria” e vira “controle mínimo”.

🎯 Quem é impactado e por quê

O alvo é o ambiente FreePBX — muito usado para gerenciar telefonia baseada em Asterisk. Em muitas empresas, PBX fica “no canto do datacenter” ou numa VM que ninguém quer tocar porque “se mexer, para”. E é exatamente esse perfil que costuma ficar defasado.

Você tende a estar mais exposto se:

  • Seu painel administrativo (ACP) está acessível de redes amplas ou da Internet
  • Há muitos usuários com acesso, sem governança clara (quem, por que, quando)
  • O ciclo de atualização é irregular e sem validação de segurança pós-patch

🧪 O que a notícia indica

  • O comprometimento foi associado a web shells (shell web) — um artefato que dá ao invasor uma forma de executar ações no servidor a partir da web.
  • A exploração citada envolve o CVE-2025-64328 e foi reportada como ativa desde dezembro de 2025.
  • A matéria cita que pesquisadores e empresas de segurança associaram a exploração à entrega de uma web shell chamada EncystPHP.

Sinais gerais (sem “hacker movie”, só o básico seguro) para ficar atento em ambientes de servidor:

  • Arquivos inesperados no servidor web/aplicação do PBX
  • Alterações não planejadas em módulos, permissões e tarefas agendadas
  • Acessos administrativos em horários incomuns ou de redes não reconhecidas

✅ Como se proteger

Checklist rápido

  • Atualize o FreePBX para a versão corrigida (17.0.3) e módulos relacionados, seguindo orientação do fornecedor
  • Restrinja o acesso ao painel administrativo (ACP): somente redes e usuários necessários
  • Remova acessos antigos: revise contas, privilégios e credenciais administrativas
  • Registre e monitore acessos: logs de autenticação e eventos do servidor devem ser revisados com rotina
  • Trate exposição como risco: se o ACP precisa existir, ele precisa de controle

🛡️ Como a Neologik ajuda: Neologik Safe

O Neologik Safe ajuda a reduzir a superfície exposta (hardening e governança de acesso), criar um padrão de monitoramento para sinais de comprometimento e conduzir resposta quando houver indício de web shell (shell web).
https://neologik.com.br/solucoes#safe

🔗 Referências

The Hacker News (27/02/2026) — https://thehackernews.com/2026/02/900-sangoma-freepbx-instances.html

Leia mais

A Neologik é uma empresa de tecnologia especializada em infraestrutura, nuvem, cibersegurança e backup corporativo, oferecendo soluções completas para negócios que buscam eficiência, segurança e evolução digital.

Quem somosSoluçõesTech TrendsJunte-se a nósFale conosco
CNPJ: 46.344.226/0001-00
Av. Engenheiro Luís Carlos Berrini, 1748
© 2025 Neologik — Tecnologia para evoluir, não para complicar.
Política de Privacidade