CVE-2025-64328

Injection de commandes dans FreePBX Endpoint Manager

Une faille critique de sécurité, identifiée sous le nom de CVE-2025-64328, a été découverte dans le module Endpoint Manager de FreePBX. Cette vulnérabilité permet à un attaquant déjà authentifié d’exécuter des commandes arbitraires sur le système, en utilisant les privilèges de l’utilisateur asterisk. La faille se situe dans la fonction check_ssh_connect() du composant Filestore.

Ce problème affecte les versions 17.0.2.36 et supérieures, mais antérieures à la version 17.0.3. Des informations suggèrent qu’un groupe de pirates motivés par le gain financier, connu sous le nom de INJ3CTOR3, exploite activement cette vulnérabilité depuis début décembre 2025. Ils déploient un webshell persistant nommé “EncystPHP” afin d’obtenir un contrôle administratif sur les systèmes VoIP compromis.

Points Clés :

• Type de vulnérabilité : Injection de commandes.
• Composant affecté : Module Endpoint Manager de FreePBX, spécifiquement la fonction check_ssh_connect() dans Filestore.
• Impact : Exécution de commandes arbitraires en tant qu’utilisateur asterisk, permettant potentiellement un contrôle administratif.
• Prérequis : Authentification préalable sur le système.
• Acteurs malveillants : Groupe INJ3CTOR3 activement impliqué dans l’exploitation.
• Malware déployé : Webshell persistant “EncystPHP”.

Vulnérabilités :

• CVE : CVE-2025-64328

Recommandations :

• Mettre à jour le module FreePBX Endpoint Manager vers une version supérieure à 17.0.3.

Source