Sangoma FreePBX just became a poster child for what happens when authentication controls fail at scale. SecurityWeek reported that 900 instances of the popular open-source PBX system were infected with web shells, all stemming from a single post-authentication command injection flaw in the endpoint manager interface. This isn't a theoretical vulnerability buried in obscure documentation. This is real infrastructure, real targets, right now compromised.
The timing alone should make your security team uncomfortable. We're talking about telephone systems—infrastructure that touches everything from customer service lines to emergency response workflows. When 900 of them fall, it's not just a patch Tuesday problem.
What We Know
The attacks exploited a post-authentication command injection vulnerability in FreePBX's endpoint manager. According to the SecurityWeek report, the vulnerability allowed attackers to inject commands after passing through authentication, meaning they needed valid credentials—but once inside, the system trusted them completely.
Web shells were deployed across the infected instances.
This wasn't a spray-and-pray campaign. The targeting was specific enough to compromise 900 systems, suggesting either active reconnaissance, credential theft, or both. The real question is: how long were these systems compromised before anyone noticed?
And here's what we don't know yet: the full scope of lateral movement, data exfiltration, and persistence mechanisms deployed post-infection. Web shells are just the visible part of an iceberg.
How It Works
The endpoint manager in FreePBX handles phone device provisioning and configuration across your entire deployment. It's a privileged interface by design. The vulnerability allowed authenticated users to inject system commands that execute with the permissions of the FreePBX process itself.
So an attacker with valid credentials—whether stolen, brute-forced, or obtained through social engineering—could run arbitrary code on the system. From there, web shells provide persistence and remote access, turning compromised FreePBX instances into entry points for deeper network penetration.
The fact that this is a post-authentication flaw is important. It means the Sangoma FreePBX authentication bypass vulnerability required that initial foothold. But frankly, that's almost worse. It means internal threats, credential leaks, and weak password hygiene become direct paths to system compromise. You can't just firewall your way out of this one.
Why It Matters
FreePBX powers phone systems for small businesses, enterprises, service providers, and critical infrastructure operators. When 900 instances fall simultaneously, you're looking at potential eavesdropping on calls, call interception, toll fraud, and lateral movement into internal networks via VoIP infrastructure.
This is particularly nasty because VoIP systems often occupy a trust zone that network teams forget to monitor aggressively. The phone system talks to everything—workstations, servers, mobile clients. A compromised FreePBX instance becomes a beachhead.
And the web shells? Those are bread and butter for persistent attackers. Long-term access, command execution, data exfiltration—all without touching the PBX system itself once the shell's in place.
Next Steps
If you're running FreePBX, assume you need a patch immediately. Check your endpoint manager logs for unusual command execution, authentication anomalies, and web requests to suspicious files. Look for web shells in the web root and any new user accounts created during the compromise window.
Rotate credentials for any accounts that could access the endpoint manager. Segment your VoIP infrastructure from your core network if you haven't already. And audit which systems have access to FreePBX—because if attackers are in, the question isn't whether they'll move laterally, it's where they're moving.
Frankly, this should have been caught sooner. Post-authentication command injection in a management interface isn't subtle. Check your monitoring. If you missed this on your own systems, that's a separate conversation you need to have with your security team.
Sangoma FreePBX щойно став прикладом того, що відбувається, коли контролі аутентифікації дають збій у великому масштабі. SecurityWeek повідомив, що 900 екземплярів популярної відкритої системи PBX були заражені веб-оболонками, все це походить з однієї вразливості command injection після аутентифікації в інтерфейсі endpoint manager. Це не теоретична вразливість, похована в темних куточках документації. Це реальна інфраструктура, реальні цілі, прямо зараз скомпрометовані.
Саме по собі час цього випадку має змусити вашу команду безпеки відчути дискомфорт. Мова йде про телефонні системи—інфраструктуру, яка торкається всього, від ліній обслуговування клієнтів до робочих процесів екстреного реагування. Коли 900 з них виходять з ладу, це не просто проблема Patch Tuesday.
Що нам відомо
Атаки експлуатували вразливість command injection після аутентифікації в endpoint manager FreePBX. Згідно з повідомленням SecurityWeek, вразливість дозволяла зловмисникам впроваджувати команди після проходження аутентифікації, що означало, що їм потрібні були дійсні облікові дані—але одного разу всередині системи повністю довіряла їм.
Веб-оболонки були розгорнуті на всіх заражених екземплярах.
Це була не масова кампанія. Розповсюдження було достатньо специфічним, щоб скомпрометувати 900 систем, що свідчить про активну розвідку, крадіжку облікових даних або обидві речі разом. Справжнє питання: як довго ці системи були скомпрометовані, перш ніж це помітили?
А ось що нам ще невідомо: повний обсяг латерального руху, крадіжки даних і механізмів стійкості, розгорнутих після інфікування. Веб-оболонки—це просто видима частина айсберга.
Як це працює
Endpoint manager у FreePBX керує розгортанням і конфігурацією пристроїв телефонії у вашому розгортанні. За дизайном це привілейований інтерфейс. Вразливість дозволяла аутентифікованим користувачам впроваджувати системні команди, які виконуються з дозволами процесу FreePBX.
Отже, зловмисник з дійсними обліковими даними—чи то вкрадені, чи отримані брутфорсом, чи отримані через соціальну інженерію—міг запустити довільний код в системі. З цього моменту веб-оболонки забезпечують стійкість і віддалений доступ, перетворюючи скомпрометовані екземпляри FreePBX на точки входу для глибшого проникнення в мережу.
Важливо, що це вразливість після аутентифікації. Це означає, що вразливість обходу аутентифікації Sangoma FreePBX вимагала початкового закріплення. Але чесно кажучи, це майже гірше. Це означає, що внутрішні загрози, витоки облікових даних і слаба гігієна пароля стають прямими шляхами до компрометації системи. Ви не можете просто прикритися брандмауером.
Чому це має значення
FreePBX живить телефонні системи для малих бізнесів, великих підприємств, поставщиків послуг і операторів критичної інфраструктури. Коли 900 екземплярів падають одночасно, ви маєте справу з потенційним прослуховуванням дзвінків, перехопленням дзвінків, телефонним шахрайством і латеральним рухом у внутрішні мережі через VoIP-інфраструктуру.
Це особливо неприємно, тому що системи VoIP часто займають зону довіри, яку команди мережі забувають активно контролювати. Телефонна система говорить зі всім—робочими станціями, серверами, мобільними клієнтами. Скомпрометована екземпляр FreePBX стає плацдармом.
А веб-оболонки? Це хлібопекарні для постійних зловмисників. Довгостроковий доступ, виконання команд, крадіжка даних—все це без дотику до самої системи PBX, коли оболонка встановлена.
Наступні кроки
Якщо ви запускаєте FreePBX, припустіть, що вам потрібна заплата негайно. Перевірте журнали вашого endpoint manager на незвичайне виконання команд, аномалії аутентифікації та веб-запити до підозрілих файлів. Шукайте веб-оболонки в веб-корені та будь-які нові облікові записи користувачів, створені під час вікна компрометації.
Змініть облікові дані для будь-яких облікових записів, які мають доступ до endpoint manager. Сегментуйте вашу VoIP-інфраструктуру від вашої основної мережі, якщо ви це ще не зробили. І проведіть аудит, які системи мають доступ до FreePBX—тому що якщо зловмисники всередині, питання не в тому, чи вони перейдуть у латеральний рух, а де вони рухаються.
Чесно кажучи, це мало бути виявлено раніше. Command injection після аутентифікації в управління інтерфейсом—це не незначне явище. Перевірте ваш моніторинг. Якщо ви пропустили це у власних системах, це окрема розмова, яку вам потрібно провести з вашою командою безпеки.