Hack Alerta

FreePBX: exploração ativa implanta webshell EncystPHP

Por Redação Hack Alerta Publicado em 29/01/2026 10:03 Cyber ataques Tempo de leitura: 3 min

Campanha explorou CVE‑2025‑64328 no Endpoint Manager do FreePBX para implantar o webshell EncystPHP; ataque, atribuído ao INJ3CTOR3 desde dez/2025, inclui criação de conta "newfpbx", múltiplos droppers e IoCs publicados para investigação.

Resumo

Campanha descoberta em produção explora CVE‑2025‑64328 no Endpoint Manager do FreePBX para implantar um webshell persistente (EncystPHP) que fornece controle administrativo completo sobre sistemas VoIP.

Contexto e atribuição

A matéria do Cyber Security News descreve uma campanha iniciada em dezembro de 2025 que explora uma falha de injeção de comando pós‑autenticação (CVE‑2025‑64328) na função check_ssh_connect() do componente Filestore do Endpoint Manager. A atividade foi atribuída ao grupo identificado como INJ3CTOR3, conhecido por ataques anteriores contra infraestrutura VoIP.

Mecanismo de exploração e payload

Após exploração autenticada, os atacantes executaram comandos como o usuário asterisk e baixaram um dropper (EncystPHP) de infraestrutura maliciosa (IP 45.234.176.202, domínio crm[.]razatelefonia[.]pro). O webshell é disfarçado como arquivos legítimos (por exemplo ajax.php) e fornece uma interface chamada "Ask Master" com comandos pré‑definidos para enumeração e controle do sistema Asterisk.

Persistência e evasão

  • Arquitetura em múltiplas fases: crontab que baixa um dropper secundário a cada minuto, múltiplas cópias em diretórios sob /var/www/html para redundância.
  • Criação de conta raiz "newfpbx" com credenciais embutidas, redefinição de senhas de usuários e injeção de chaves SSH para manter acesso.
  • Falsificação de timestamps, alteração de permissões e remoção de webshells concorrentes para dificultar remoção e análise forense.

Indicadores de comprometimento (seleção)

A matéria lista diversos IoCs: IPs 45[.]234[.]176[.]202 e 187[.]108[.]1[.]130; domínio crm[.]razatelefonia[.]pro; vários hashes SHA‑256 de componentes; caminhos de implantação como /var/www/html/admin/views/ajax.php; e a conta maliciosa newfpbx. Também há assinaturas FortiGuard e uma assinatura IPS (59448) citadas.

Origem do tráfego e vítimas

Segundo o relatório, tráfego de ataque originou do Brasil e mirou ambientes gerenciados por uma empresa indiana de serviços em nuvem/telecom. A matéria recomenda tratar qualquer exploração bem‑sucedida como comprometimento total do sistema.

Recomendações

  • Aplicar patches e atualizações do FreePBX/Endpoint Manager assim que disponíveis; remover instâncias expostas à Internet ou isolar via ACLs.
  • Auditar contas locais e chaves SSH, procurar a conta "newfpbx" e hashes/arquivos listados nos IoCs; restaurar a partir de backup íntegro quando apropriado.
  • Alterar senhas, revisar crontabs e rotas HTTP no /var/www/html, e executar análises forenses completas antes de reintegrar sistemas à produção.

Fonte: Cyber Security News

Baseado em publicação original de Cyber Security News
Tags: #freepbx #voip #webshell #cve-2025-64328 #encystphp #ioCs #toll-fraud #seguranca #intrusao
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar