كشفت مؤسسة Shadowserver Foundation أن أكثر من 900 نظام Sangoma FreePBX لا يزال مصابًا بأدوات Web Shell خبيثة، نتيجة هجمات بدأت في ديسمبر 2025.
الهجمات استغلت ثغرة CVE-2025-64328 المصنفة عالية الخطورة (بدرجة CVSS: 8.6)، والتي تسمح بتنفيذ أوامر عشوائية بعد تسجيل الدخول إلى لوحة إدارة FreePBX. وفقًا للتحذير الأمني الصادر في نوفمبر 2025، فإن أي مستخدم لديه وصول إلى لوحة الإدارة يمكنه استغلال الثغرة للحصول على وصول عن بُعد إلى النظام بامتيازات مستخدم asterisk.
حجم الانتشار الجغرافي
من بين الأنظمة المصابة، هناك 401 نظام في الولايات المتحدة، و51 في البرازيل، و43 في كندا، و40 في ألمانيا، و36 في فرنسا. هذا الانتشار يعكس الطابع العالمي للهجوم، ويؤكد أن الثغرة استُغلت على نطاق واسع عبر بيئات مختلفة.
استغلال منظم عبر INJ3CTOR3
أشارت تقارير Fortinet FortiGuard Labs إلى أن مجموعة تهديد تُعرف باسم INJ3CTOR3 بدأت باستغلال الثغرة منذ أوائل ديسمبر 2025 لنشر Web Shell يُعرف باسم EncystPHP.
هذا الـ Web Shell يعمل ضمن سياق إداري في FreePBX وElastix، مما يمنحه صلاحيات مرتفعة لتنفيذ أوامر على النظام المخترق، بل ويتيح إجراء مكالمات خارجية عبر بيئة PBX، وهو ما يفتح الباب أمام عمليات احتيال واتصالات غير مشروعة.
إجراءات الحماية الموصى بها
الثغرة تؤثر على إصدارات FreePBX ابتداءً من 17.0.2.36 وما بعدها، وقد تم إصلاحها في الإصدار 17.0.3. ينصح الخبراء المستخدمين باتخاذ الإجراءات التالية:
- تحديث أنظمة FreePBX إلى آخر إصدار متاح.
- تقييد الوصول إلى لوحة الإدارة لتقتصر على المستخدمين المصرح لهم فقط.
- منع الوصول من الشبكات غير الموثوقة إلى لوحة التحكم.
- تحديث وحدة filestore إلى أحدث نسخة.
إضافة إلى ذلك، أدرجت وكالة الأمن السيبراني والبنية التحتية الأميركية CISA الثغرة ضمن قائمة الثغرات المستغلة فعليًا (KEV)، مما يعكس خطورتها وضرورة التعامل معها بشكل عاجل.
