CVE-2025-64328
Mis à jour :
Vulnérabilité dans FreePBX Endpoint Manager Exploité pour le Contrôle d’Accès
Une faille de sécurité identifiée sous la référence CVE-2025-64328 affecte le module Endpoint Manager de FreePBX. La vulnérabilité se situe dans la fonction check_ssh_connect() du composant Filestore. Elle permet à un attaquant authentifié d’exécuter des commandes shell arbitraires avec les privilèges de l’utilisateur asterisk sur le système ciblé.
Ce problème touche les versions 17.0.2.36 et ultérieures du module Endpoint Manager de FreePBX, jusqu’à la version 17.0.3. Il a été observé que des acteurs malveillants à motivation financière, identifiés sous le nom de groupe INJ3CTOR3, exploitent activement cette faille depuis début décembre 2025. Leur objectif est de déployer un webshell persistant nommé “EncystPHP”, leur permettant ainsi d’obtenir un contrôle administratif sur les systèmes VoIP compromis.
Points Clés :
- Type de vulnérabilité : Injection de commandes.
- Composant affecté : Module FreePBX Endpoint Manager, fonction
check_ssh_connect()du composant Filestore. - Impact : Exécution de commandes shell arbitraires en tant qu’utilisateur
asterisk. - Attaque : Post-authentification.
- Exploitation active : Signalée par le groupe INJ3CTOR3 depuis décembre 2025.
- Charge utile : Déploiement du webshell “EncystPHP” pour le contrôle administratif.
Vulnérabilités :
- CVE-2025-64328 : Injection de commandes.
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations, la nature de la vulnérabilité et son impact suggèrent fortement la nécessité d’une mise à jour immédiate des versions affectées du module FreePBX Endpoint Manager vers une version corrigée (idéalement 17.0.3 ou plus récente). Il est également conseillé de surveiller les systèmes pour toute activité suspecte, notamment des connexions SSH inhabituelles ou la présence de fichiers inconnus.